Perché Overflow dello stack non utilizza HTTPS per tutte le sue pagine?

33

La maggior parte delle pagine Web da Stack Overflow utilizza http anche se hai effettuato l'accesso.

Non è un problema di sicurezza?

Potrebbe un intercettatore rubare la mia sessione e il cookie di autenticazione impersonare me dato che è stato inviato tramite http?

Modifica

Ho trovato questo ottimo post di Troy Hunt che spiega la sicurezza di Stack Overflow.

    
posta Gudradain 09.09.2014 - 19:24
fonte

2 risposte

16

Per rispondere alle tue domande in ordine:

1) Contenuto misto. La tipica pagina StackExchange combina il contenuto di un certo numero di fonti (ad server, imgur, gravatar, ecc.) E non tutti ancora supportano HTTPS. I browser reagiscono in vari modi alle pagine che contengono un mix di contenuti HTTP e HTTPS, ma il più comune è rifiutarsi di caricare il contenuto non protetto, lasciandoti una pagina rotta.

2) Sì, è un problema di sicurezza. Tuttavia, non è il più possibile, dal momento che le pagine di accesso utilizzano SSL.

3) Forse. Dipende se StackExchange sta usando tecniche di correzione della sessione per impedire il furto della sessione o meno.

    
risposta data 09.09.2014 - 19:59
fonte
3

Volevo solo dire che è lì ora: link

22 maggio 2017

Today, we deployed HTTPS by default on Stack Overflow. All traffic is now redirected to https:// and Google links will change over the next few weeks. The activation of this is quite literally flipping a switch (feature flag), but getting to that point has taken years of work. As of now, HTTPS is the default on all Q&A websites.

    
risposta data 28.05.2017 - 13:21
fonte

Leggi altre domande sui tag