Nikdy si nemůžeš být jistý, že to heslo neukládá nějaký útočník po cestě
V prípade SMTP máte pravdu. A to je dôvod, prečo neposielať heslo e-mailom hneď po registrácií (regZone aj Ignum to robia) teda aj nad rámec funkcie "zabudol som heslo". Heslo som nezabudol a registrátor dal sám od seba šancu zneužiť moje konto napr. môjmu poskytovateľovi internetového pripojenia.
V prípade HTTPS to má útočník po ceste neporovnateľne tažšie.
nebo že se poskytovatel nerozhodl jít evil
Nie, to sa vylúčiť nedá. Ale "poskytovatel" nie je jedna osoba. V prípade nezahashovaných hesiel môže zneužiť každé jedno konto každý jeden zamestnanec, ktorý si jediný raz uložil dotyčnú tabuľku databázy.
Keď sa pozrieme na škodcov mimo registrátora, je tu samozrejme SQL injection.
Nechcem nikoho presviedčiať o tom, že nezahashované heslá a ich posielanie e-mailom sú nebezpečné. Chcem sa dozvedieť ktorý registrátor .cz domien to nerobí. Vopred ďakujem za tipy.