Apple всё ещё следит за вами. Без вашего согласия

[askharitonov]

Помню, у одной российской компании, предоставлявшей в том числе платные услуги электронной почты (это было наверное где-то в середине 2000-х), страница аутентификации была доступна исключительно по незащищённому HTTP, сами логин и пароль потом отправлялись по защищённому соединению, но технически страницу с формой для ввода логина и пароля возможно было подменить на промежуточном узле и в итоге узнать пароль пользователя. Написал им, в точности ответ не помню, но смысл был такой, что им по каким-то причинам приходится так делать. Может конечно причина была не в необходимости обеспечить возможность перехвата паролей, может у них система была как-то криво сделана или настроена...

[domix32]

Из историй "успеха" помнится история МосМетро, когда там данные пользователей в голом виде передавались. Щас оно тоже ходит, но уже в обфусцированном виде, но все также незащищённое. Ещё где-то на хабре была похожая история, где человече порвался в какую-то провайдерскую админку похожим способом и мог манипулировать своим интернетом. Провайдер, после репорта, конечно поправил это дело спустя пару тыщалетий и даже каких-то бонусов предложил в итоге.

[nitro80]

даже каких-то бонусов предложил в итоге

Чифиру?

[domix32]

Чифиром хотели угостить где-то в середине истории, но в итоге все кончилось лучше, чем ожидалось.

[dakuan]

это было наверное где-то в середине 2000-х

А тут точно ошибки нет? Потому что в середине 2000х использование HTTP не было чем-то удивительным, подавляющее большинство сайтов вообще не использовало HTTPS.

[askharitonov]

Может и позже. Но, мне кажется, для веб-интерфейса к почте HTTPS стали использовать в целом раньше, чем он появился на большинстве сайтов. Сам адрес у меня там появился не позже 1999 года (сейчас посмотрел старые письма), то есть, вполне возможно, что дело было именно в середине 2000-х.