HTTPS è lo strumento corretto da utilizzare. Il carico computazionale di decrittografia dei pacchetti è molto basso. Google ha modificato l'HTTPS per impostazione predefinita per l'intero periodo di GMail all'inizio dell'anno e segnala che il carico della CPU sui server per la crittografia/decrittografia SSL è pari all'1% circa.
Se si cripta solo parte del flusso, si ha ancora il problema degli attacchi man-in-the-middle e di riproduzione. SSL è l'unico modo per prevenirli. Non importa se l'ID della sessione è crittografato. Se un man-in-the-middle può catturarlo, può riutilizzarlo nel suo formato crittografato, e il server non conoscerebbe la differenza.
Here's a blog post sull'esperienza di Google poiché il GMail passa al 100% SSL.
fonte
2010-11-11 00:20:25
[Ulteriori informazioni sul blog di Google Online Security] (http://googleonlinesecurity.blogspot.com/2009/06/https-security-for-web-applications.html). – alex