Я заметил, что stackoverflow использует только SSL на странице входа, и что вопросы/ответы можно публиковать через HTTP.
Для этого пользователи должны войти в систему, и поэтому мне интересно, как stackoverflow удается отслеживать, какие пользователи вошли в систему, если SSL не используется.
В настоящее время я делаю приложение для рельсов, которое отслеживает статус входа в систему с помощью файлов cookie. Я всегда предполагал, что вам нужен SSL, чтобы сделать это безопасно. Но я публикую это как зарегистрированный пользователь -через HTTP.
Я замечаю файл cookie с именем «usr», когда запускаю tcpdump -i eth0 -A
, а затем посещаю stackoverflow, и что этот файл cookie передается в виде открытого текста без SSL. Может ли хакер/анализатор пакетов -взять мой файл cookie usr,и воспроизвести мой сеанс, если я вошел -через небезопасное соединение, например, через Wi-Fi-кафе?
Я хочу избежать использования SSL в моем приложении rails (, потому что мой хост взимает плату за его реализацию ), поэтому я хочу использовать ту же технику, что и stackoverflow. Я хочу, чтобы пользователи вошли в систему без SSL.
Я предполагаю, что здесь используется хранилище сеансов базы данных (или memcache/redis ). Но наверняка какой-то файл cookie все еще требуется? Почему эти файлы cookie не нужно отправлять через SSL? Есть ли что-то еще в фоновом режиме, что делает эти файлы cookie излишними для хакеров на разных машинах?