stackoverflowはログインページでSSLのみを使用し、質問/回答はHTTP経由で投稿できることに気づきました。
そのためにはユーザーがログインしている必要があるため、SSLが使用されていない場合、stackoverflowがログインしているユーザーを追跡する方法を知りたいと思います。
現在、Cookieを使用してログインステータスを追跡するRailsアプリを作成しています。それを安全に行うにはSSLが必要だといつも思っていました。しかし、私はこれをログインユーザーとしてHTTP経由で投稿しています。
実行してからstackoverflowにアクセスすると、「usr」という名前のtcpdump -i eth0 -A
Cookieがあり、このCookieはSSLなしでプレーンテキストで送信されます。Wi-Fiカフェなどの安全でない接続を介してログインした場合、ハッカー/パケットスニファが私のusr cookieを取得し、セッションを再生できますか?
RailsアプリでSSLを使用することは避けたいので(ホストはそれを実装するために腕と脚を充電するため)、stackoverflowと同じ手法を使用したいと思います。SSLを使用せずにユーザーをログインさせたままにしたい。
ここではデータベース(またはmemcache / redis)セッションストアが使用されていると思います。しかし、確かにある種のクッキーはまだ必要ですか?なぜこれらのCookieをSSL経由で送信する必要がないのですか?これらのCookieを別のマシンのハッカーに冗長化するバックグラウンドで何か他のことが起こっていますか?