https://arstechnica.com/sec...login-page-insecure/
Если коротко - хром и мозло стали выдавать варнинги на HTTP страничках с логином о том, что коннект несекурный.
представитель некоторого сайта написал багрепорт в мозлу, что мозла без их разрешения помещает на их страничку всякие предупреждения, которые отпугивают их пользователей и вообще подрывает доверие к этим ребятам. и вообще им не нужен никакой SSL, у них своя офигенная система безопасности, все обсекурено и за 15 лет из никто ни разу не взломал.
чуть позже багрепорт разлетелся лулзами и был доставлен на реддит, где местные обнаружили, что в 2017 у этого сайта нет элементарной защиты от скл-инъекций и дропнули таблицу со всеми пользователями, попутно обнаружив, что все пассворды там хранились плейнтекстом. а еще у движка был включен дебаг, поэтому при падениях любому неавторизованному юзеру вываливался стектрейс, локальные пути и даже куски исходного кода (где как раз и можно было спалить, что запросы в бд они строят тупой конкатенацией строк без какой-либо проверки вообще)
такие дела