どっちにせよすでにHTTPSを常時使うようにしてるんで関係無いっちゃ関係無いんだが、なにを警告してんのか理解できん。悪意ある者がhttp://mail.google.comの画像をメールやウェブページに紛れ込ませても、セッションIDの含まれるCookieはhttp://mail.google.comへ送られるよな? で、それを盗み見できるような攻撃者なら、そもそも画像をメールやウェブページに紛れ込ませる必要なしにそのCookieを含むやりとりを傍受できるよな?
　わけがわからんので元記事をみたが、該当する部分は

The problem lies with the fact that every time you access anything on Gmail, even an image, your browser also sends your cookie to the website. This makes it possible for an attacker sniffing traffic on the network to insert an image served from http://mail.google.com and force your browser to send the cookie file, thus getting your session ID. Once this happens the attacker can log in to the account without the need of a password. People checking their e-mail from public wireless hotspots are obviously more likely to get attacked than the ones using secure wired networks.

このパラグラフの強調したセンテンスのようだ。つまりimage served from http://mail.google.comが存在すれば確実にCookieのやりとりが発生するから、an attacker sniffing traffic on the networkがそれを見れるよ、ということしか言ってない。
　Defconって、こんな、「ネットワークをsniffingしてる人には素のHTTPは丸見えだよ」というだけのネタでも仰々しく発表されるような催しだったっけか。