> Dnes už hlavně neplatí že to co je v URL tak tam se posílají data a teď mám na mysli i přihlašovací údaje.
To neplatilo nutně nikdy. Mělo by ale platit, že obsah stránky ovlivňuje výhradně ten, kdo je uveden v adrese, popřípadě ten, na koho to deleguje. (Za předpokladu důvěryhodnosti spojení.)
Co se týče stránek, které po vás chtějí heslo na jinou stránku (je jedno, jestli je to iframe, form s action atd. – nejenže to běžný uživatel nepozná, ale ani pro pokročilého to není sranda dobře zkontrolovat), souhlasím, že je na místě obezřetnost a ideální je se tomu vyhnout.
Konkrétně eBay po mě nikdy takto heslo na PayPal nechtěl, teda ne na desktopu. V mobilní aplikaci ano, tam ale nenakupuju, pohodlnější je to nakoupit z webového prohlížeče, zvlášť když neznám to heslo zpaměti.
A PayPal je případ sám pro sebe – stačí se podívat, kolik mají phishing-like domén a jak na ně odesílají odkazy v e-mailech.