2 年にわたって運営を担当させられている某サイトは Cookie に ID とパスワードを平文で格納してます。セッションちゃうやん > SIer
ユーザーが「パスワード教えて（泣」とメールを投げてきた時は ID とメールアドレスを照合した後に登録されたパスワードをこれまた普通のメールで返します。パスワードは平文のままDBに格納されてます。
こんな所の管理者なんてイヤです。苦痛です。鬱です。
ついでに SSL 無しで住所から家族構成まで入力させているのですが、ユーザー数が1000を超えた割に苦情は１件しか入っていません。まぁ機会ロスはその数十倍ありそうですけど。
ただこういう状況だとリプレースの必要性を説いても説得力が落ちるんですね。どうしようもないシステムですが、意外とクライアントとユーザーの程度を考えると身の丈には合っているのかも～なんて思ったり。

で、リプレース用に自分で構築中のシステムではリマインダーを使って新しいパスワードで上書きし、ユーザーにそのパスワードを使ってログインしパスワードを再設定するよう促したメールを返します。パスワードは md5 ハッシュ値を取ってDBに格納しています。なので本人が忘れると終わり。
色々不備もありますが、まぁコストもかけれませんし、ユーザーオペレーションのコストを上げるとクライアントが煩い上に私の能力評価が下がるし、妥当な仕様かな、と。

SSLで重要なデータを入出力するWebサイトが平文のメールでユーザーにパスワードを送っていればそれは問題ですが、仮にその問題を指摘して改善されたとしても、今回指摘されたクッキー盗聴の問題が実在していれば、依然として重要なデータが盗まれる可能性は残ります。

また、そのようなWebサイトが平文メールでユーザーにパスワードを送っていなくても、今回指摘されたクッキー盗聴の問題が実在していれば(以下略)

平文メールでパスワード云々は、今回の問題の重要性になんら影響を与えません。

-----
もちろん、平文メールでパスワードを送って、それをそのまま恒久的にパスワードとして用いられるような実装は問題ですし、そのような実例を見つけたら(利用しない|指摘して修正してもらう|必要だと思えば公表する)というアクションが必要になることもあるでしょう。