这是一种很常见的观点。
很多人都觉得,HTTPS 可以保护用户的密码等登陆信息,那么其他时候就不需要了。但火狐Firefox浏览器插件Firesheep,证明了这种想法是错的。我们可以看到,其实在一些社交平台,劫持其他人的session是较容易的。我们以常见的咖啡馆的免费WiFi环境为例,这就是一个很较好的劫持环境,因为两个原因
1. 这种公共场合的 WiFi 通常不会加密,这就是提供了监控所有流量的可能性。
2. WiFi通常使用 NAT 进行外网和内网的地址转换,所有内网客户端都共享一个外网地址。这意味着,被劫持的 session,看上去很像来自原有的登录者。
如果登录页使用了HTTPS,但是登录以后,其他页面就变成了HTTP。这时,它的cookie里的session值就暴露了。
也就是说,这些cookie是在HTTPS环境下建立的,但是却在HTTP环境下传输。如果有人劫持到这些cookie,那他就能以你的身份在社交平台上发言了。
那么加密和只加密注册登陆页面,对网站运营者来讲,成本有很多的区别吗?
其实不然。一张证书可以只是保护一个域名下所有的页面,如果有很多的子域名,则一张通配符证书就可以搞定。而这些证书的成本低几百元即可申请。