> All a user needs to do is have a packet capture of requests to a known site, including an authentication (login) request containing an already known username and an unknown plain-text password.

Одно из требований проведения атаки - знание логина/user name.

> have a packet capture of requests to a known site

Перехват пакетов (https) к известному сайту. Те, необходимо чтобы пользователь начал подключение к известному сайту через fishing site, с которого и будут перехватываться пакеты.

> If an attacker can determine the user's browser and how that browser would send requests to the site

Если аттакер сможет определить используемый пользователем браузер и как этот браузер посылает запросы к известному сайту.

http://blogs.websense.com/security-...ning-passwords-tls-encrypted-browser-requests