Странно, но игра до сих пор не использует https. Ведь без https все данные,
включая пароль, передаются в открытом виде. То есть, пароль любого персонажа
можно перехватить, просто перехватив сетевой трафик, идущий от игрока до сервера
игры.

Пароль передаётся в зашифрованном виде. Так что перехват сетевого трафика ничего
не даст.

3 как он может передаваться в зашифрованном виде, если запрос отправляется на
адрес http://www.gwars.io/login.php?

4
А Вы код данной страницы не смотрели? Пароль сперва шифруется JavaScript'ом в
MD5 (на стороне клиента), а затем методом POST передаётся на сервер.

5 MD5 уязвим

В игре 3 (!) пароля, которые нужно перехватить. Чтобы персонажа взломали нужно
быть глупым как пробка или активно помогать взломщику. Кому он нужен твой
персонаж так заморачиваться?)

6
Не уязвим, а имеет коллизии. На данный момент ничего лучше брутфорса для его
вскрытия не придумали. А если учесть, что он ещё и "солится", то вероятность его
подбора близится к нулю.

7 прав

Фигнёй страдаешь.
Кому нужны эти аккаунты то? Чтобы насрать в душу и не больше? Бред