मैंने देखा है कि स्टैक ओवरफ्लो केवल लॉगिन पृष्ठ पर SSL का उपयोग करता है, और वह प्रश्न/उत्तर HTTP पर पोस्ट किए जा सकते हैं।Stackoverflow उपयोगकर्ताओं को HTTP पर साइन इन कैसे रखता है?
उपयोगकर्ताओं को ऐसा करने के लिए लॉग इन होना चाहिए, और इसलिए मैं सोच रहा हूं कि एसएसएल का उपयोग नहीं होने पर, कौन से उपयोगकर्ता लॉग इन हैं, यह ट्रैक करने के लिए स्टैक ओवरफ्लो प्रबंधित करता है।
वर्तमान में मैं रेल एप्लिकेशन बना रहा हूं, जो कुकीज़ का उपयोग करके स्थिति में लॉग इन करता है। मैंने हमेशा यह माना है कि आपको सुरक्षित रूप से ऐसा करने के लिए SSL की आवश्यकता है। लेकिन मैं इसे एक लॉग-इन उपयोगकर्ता के रूप में, HTTP पर पोस्ट कर रहा हूं।
मुझे tcpdump -i eth0 -A
चलाते समय 'usr' नामक एक कुकी दिखाई देती है और फिर स्टैक ओवरफ्लो पर जाएं, और यह कुकी एसएसएल के बिना सादे टेक्स्ट में प्रसारित की जाती है। क्या एक हैकर/पैकेट-स्निफर मेरे यूएसआर कुकी ले सकता है, और मेरे सत्र को फिर से चला सकता है, अगर मैं एक असुरक्षित कनेक्शन पर लॉग इन करता हूं, जैसे वाईफाई कैफे?
मैं अपने रेल ऐप में एसएसएल का उपयोग करने से बचना चाहता हूं (क्योंकि मेरा होस्ट एक हाथ और इसे लागू करने के लिए एक पैर चार्ज करता है), इसलिए मैं उसी तकनीक को स्टैक ओवरफ्लो के रूप में उपयोग करना चाहता हूं। मैं एसएसएल के बिना उपयोगकर्ताओं को लॉग इन रखना चाहता हूं।
मुझे लगता है कि डेटाबेस (या memcache/redis) सत्र स्टोर का उपयोग यहां किया जा रहा है। लेकिन निश्चित रूप से कुछ प्रकार की कुकी अभी भी जरूरी है? एसएसएल के माध्यम से इन कुकीज़ को कैसे भेजा जाना चाहिए? क्या पृष्ठभूमि में कुछ और चल रहा है जो विभिन्न कुकीज़ पर हैकर्स को अनावश्यक इन कुकीज़ को प्रस्तुत करता है?
मुझे लगता है कि सुरक्षा के लिए HTTPS का उपयोग किया जाता है, लेकिन एक बार कुकी चालू होने पर, HTTP का उपयोग किया जा सकता है। –