they say the login is very well submitted encrypted
Isso não é bom o suficiente . Não importa se o formulário de login é enviado para um destino HTTPS se a página em que o formulário de login é mostrado não estiver criptografada.
Isso é realmente explicado na própria documentação do Mozilla .
Eu acredito que isso é o que você está vendo:
- Formulário de login é exibido em um site HTTP
- O botão de envio do formulário de login vai para um site HTTPS
Isso é o que é necessário para ser seguro:
- O formulário de login é exibido em um site HTTP S
- O botão de envio do formulário de login vai para um site HTTPS
Outra possibilidade é que eles embutiram um iframe HTTPS dentro de um documento HTTP, que é executado em problemas semelhantes.
Por quê? Como o formulário de login não é seguro, não há como impedir que um invasor modifique o formulário. Isso significa que eles podem alterar o formulário e enviá-lo para um site não HTTPS, ou até mesmo outro site totalmente. Eles também podem injetar um script que capture seus pressionamentos de tecla e os envie para um site controlado pelo invasor antes mesmo de enviar o login.
Depois disso, o Firefox mostrará o aviso se o formulário de login for detectado em um site não HTTPS, independentemente do envio para .
Este é um problema muito comum e muitos operadores de sites (incluindo sites que você esperaria que sejam muito seguros, por exemplo, bancos) não parecem estar cientes (ou simplesmente não se importam). Troy Hunt tem ótimas postagens de blog explorando esse assunto, que remonta a cinco anos atrás . E, claro, é ainda hoje um problema comum .