Security HTTP上的会话劫持

我注意到很多非常大的网站让你使用HTTPS登录，然后在我登录后立即切换回HTTP（myfitnesspal.com，pluralsight.com）。如果我使用数据包嗅探器，我可以看到会话id cookie并验证请求是否通过HTTP发送。这是否意味着，如果有人在听，他们很容易劫持我的会话，或者我还遗漏了什么？同样，除了服务器上的额外计算之外，还有什么理由我希望使用HTTPS上的HTTP吗？

这取决于会话的处理方式。服务器可能正在处理两个会话。一个有担保，一个无担保

当您登录这些网站时，他们可能会设置两个会话cookie，一个用于浏览，另一个用于安全访问管理员/帐户管理/签出区域。第二个cookie将标记为“安全”，并且仅通过TLS/SSL连接发送。正常浏览等时，仅使用不安全连接，仅用于维护会话中的状态，但当您转到帐户管理、签出等时，则会出于这些目的切换回安全会话。如果距离上次安全访问时间太长，可能会要求您重新验证

---

因此，虽然您的浏览会话可能被劫持，但您的帐户也不太可能因此而受损（如果正确实施的话）

您可以看到会话cookie，如果它没有安全标记，或者例如，如果您看到转到wireshark并在局域网上搜索HTTP，您可以查看流量，例如：pluralsight，您只需在登录后的HTTP连接上按Follow TCP STREAM即可查看其HTTP数据流，只需收集sessionid并抓取greasemonkey（firefox工具）+session hijack:和ctrl+v您收集的sessionid，您将自己看到是否存在漏洞

是的，你可以，但没有。如果你只是在服务静态页面，或者你没有在客户端和服务器之间来回移动机密信息/敏感信息，我认为不需要HTTPS。回答得好，假设有两个会话。否则就被劫持了。