Anders gesagt: ein Angreifer kann die Seite, auf der ich meine Logindaten eingebe manipulieren.
Dazu muss er in deinem Browser sitzen oder als MiM andocken. Für letzteres ist die NSA zuständig und die läßt sich 1. nicht von https abschrecken und braucht 2. deine Login-Daten nicht. Und falls der Vektor Dein Browser ist, hast Du noch ganz andere Probleme.
geht ihr eigentlich inkognito in eine Buchhandlung?
Meistens
Tatsächlich sind Bücher sensible Daten. Aus der Leseliste läßt sich sehr viel ableiten.