Ho notato che StackOverflow utilizza SSL solo nella pagina di accesso e che domande/risposte possono essere pubblicate su HTTP.In che modo StackOverflow mantiene gli utenti connessi su HTTP?
Gli utenti devono effettuare l'accesso per farlo e quindi mi chiedo come StackOverflow riesca a tenere traccia degli utenti che hanno effettuato l'accesso, se SSL non viene utilizzato.
Attualmente sto creando un'app per i binari, che tiene traccia dello stato di accesso utilizzando i cookie. Ho sempre pensato che tu abbia bisogno di SSL per farlo in modo sicuro. Ma sto postando questo, come utente loggato, su HTTP.
Ho notato un cookie denominato "usr" quando eseguo tcpdump -i eth0 -A e poi visita stackoverflow e che questo cookie viene trasmesso in chiaro, senza SSL. Un hacker/sniffer di pacchetti può prendere il mio cookie usr e ripetere la mia sessione, se ho effettuato l'accesso su una connessione non protetta, come un wifi cafe?
Voglio evitare di utilizzare SSL nella mia app per le rotaie (perché il mio ospite carica un braccio e una gamba per implementarlo), quindi voglio usare la stessa tecnica di StackOverflow. Voglio mantenere gli utenti loggati, senza SSL.
Suppongo che l'archivio di sessione del database (o memcache/redis) sia in uso qui. Ma sicuramente una sorta di cookie è ancora richiesto? Come mai questi cookie non devono essere inviati tramite SSL? C'è qualcos'altro in background che rende ridondanti questi cookie agli hacker su macchine diverse?
Suppongo che HTTPS sia utilizzato per la sicurezza, ma una volta attivato il cookie, è possibile utilizzare HTTP. –