Браузеры не всегда аутентифицируют домены, устанавливающие cookie; это позволяет злоумышленнику внедрять через незашифрованные HTTP-соединения cookie, которые потом будут передаваться взамен установленных сайтами, работающими по протоколу с шифрованием.
В почтовом сервисе Mail.Ru включили защищенный протокол HTTPS на главной странице.