Totoro
Вы всё верно написали. А ещё чтобы контент не подменил (баннер не срезал или не встроил или просто дезу какую-то не налил в глаза вместо ваших букв).
Перехваченный пароль кроме очевидных для вас моментов позволяет написать много экстремистских текстов, за которые могут закрыть сайт или начать следственный процесс против настоящего владельца аккаунта.
Теоретическа да, но на практике есть гораздо более простые способы воровства паролей и взлома аккаунта, чем пытаться перехватить пароль на бесплатной вай-фае или где-то еще, где можно перехватить. За 12 лет ни разу такого не произошло. Конечно, мы со временем перейдем на https (в первую очередь из-за того, что сделать это вынуждают поисковики). Может даже этим летом. У нас тоже инерционная система с несколькими сотнями тысяч страниц, которые не так просто перевести на https без выпадания из поисковиков. На новом сайте естественно это проще. И дело не в бесплатности или платности сертификатов.