Dipende da cosa intendi per inutile. :) Sei corretto che in una configurazione standard, in cui stai creando una sessione su HTTPS, e poi ritornando a HTTP ma passando un cookie di sessione (diciamo) in giro con le tue richieste, che il teorico "ragazzo nella caffetteria" possa in effetti vedi i tuoi dati e/o intraprendi azioni per tuo conto.
Lo svantaggio dell'utilizzo di tutto-SSL (HTTPS) è tradizionalmente costoso da un punto di vista del lato server oltre che dal calcolo del lato client. (Dollari e server per il sito, pagine a caricamento più lento per voi.)
Pertanto, la maggior parte di un sito in chiaro è stato tradizionalmente considerato un "rischio accettabile" per la maggior parte degli usi del web.
I due rischi che si incontrano sono la possibilità che i dati siano visibili agli altri e che altri possano agire come te (utilizzando i cookie, che possono rubare). Quando progetti un nuovo sito, dovresti pensare ai rischi relativi di entrambe queste cose. Si noti che le istituzioni finanziarie serviranno sempre tutte le loro pagine su HTTPS perché il rischio non è accettabile, ogni pagina contiene dati sensibili e persino l'intercettazione è errata. Gmail offre un'opzione di attivazione per ottenere anche HTTPS per tutte le sessioni. (Facebook, tuttavia, non lo è, ad esempio Yahoo! Mail).
Probabilmente avrete notato che molti siti che funzionano principalmente su HTTP proteggeranno le modifiche critiche delle impostazioni con la re-autenticazione della password. Questo è uno dei motivi per cui lo fanno: anche se il ragazzo nel coffee shop può leggere i tuoi post di Facebook che passano, non può cambiare la tua password e bloccarti senza conoscere la tua password corrente.
Filosoficamente, la mia ipotesi è che nel corso del tempo un numero crescente di servizi con dati utente privati sarà sottoposto a pressioni per passare a (o offrire) all-HTTPS man mano che le persone vengono a conoscenza dei rischi e dell'utilizzo delle reti Wi-Fi pubbliche.
fonte
2010-01-04 00:32:04
IMO, solo che tutto in HTTPS. La crittografia non è certo un compito costoso –
@Jeffrey, in un sito affollato come Google, ad esempio, il sovraccarico di SSL può sommarsi a molto. La maggior parte dei siti non avrà quel problema anche se – Glen
c'è un sacco di persone che non sono d'accordo con il fatto che la crittografia costa poco! – Matthew