VolkerK ha ragione, ma la sua risposta sbaglia dalla parte della cautela. La sessione può essere compromessa da tutti i tipi di metodi. Ci sono modi per aggirare questo problema (ad esempio utilizzando un lato client javascript memorizzato nella cache per generare hash contro un valore fisso di una sfida generata con ogni pagina) ma sono disordinati. Di gran lunga la soluzione più semplice è usare sempre SSL. Tuttavia, potresti prendere in considerazione l'utilizzo dell'autenticazione digest abbinata a un cookie di sessione.
Tor Valamo è sbagliato. Oggigiorno la larghezza di banda è molto economica, tuttavia ciò che è difficile da raggiungere è l'eliminazione della latenza - e la latenza è il fattore determinante principale della velocità di trasferimento HTTP (dove la maggior parte del contenuto è relativamente piccola). Per una richiesta HTTP, ci sono almeno 2 round trip sul server - l'handshake TCP quindi la richiesta/risposta. Varia in base alla dimensione dei file e ad altre considerazioni, ma in genere i conti di latenza di andata e ritorno rappresentano il 50-70% del tempo trascorso per recuperare un oggetto.
L'utilizzo di Keep-alive elimina uno dei round trip e quindi migliora notevolmente il throughput.
Con SSL, è necessario almeno un viaggio di andata e ritorno aggiuntivo (per la ripresa di una sessione SSL esistente) e più di uno per la negoziazione SSL iniziale. Il vero killer è che l'implementazione non standard di SSL di Microsoft significa che non è possibile usare keep-alive da qualcosa di diverso da MSIIS quando si parla con un client MSIE (per ulteriori informazioni consultare i documenti mod_ssl).
Inoltre, tenere presente che il client (http-) deve inviare l'identificativo di sessione ad ogni richiesta. Se stai tornando a http questo ID è un semplice cookie o intestazione della richiesta, può essere sniffato e la sessione eventualmente dirottata. – VolkerK
Oops, parola mancante: "Se torni a http ** e ** questo ID è un semplice cookie ..." – VolkerK