Odpovědi na druhou otázku jsou ano a ano. Už to bylo vysvětlováno mnohokrát, např. tady na Rootu snad v každé diskusi pod zprávičkou nebo článkem o HTTPS.
Ano, všude, protože nejsnazší útok na HTTPS je downgrade na HTTP. Proti tomuse lze bránit jedině tak, že prohlížeč nebude HTTP podporovat buď vůbec nebo jen s výraznýmí protesty.
Protoze vyvojari databazi na to kaslou a databaze zadne straslive pop-upy po uzivateli nemetaji, kdyz se do sloupce 'password' zapisuje heslo v plaintextu.