HTTPS Everywhere è una grande funzionalità, ma il problema che vedo è che ha dipendenza dal browser dell'utente e dal tipo di browser. Inoltre se sarà davvero difficile gestire il browser mobile e tablet.
Sarà l'ideale se gestiamo l'applicazione HTTPS dal server stesso. Se stai ospitando un portale molto confidenziale, puoi andare per una sessione sicura per tutte le pagine (servlet, ecc.) Altrimenti puoi applicarle anche su determinate pagine. Penso che siamo tenuti a garantire la sicurezza del livello di trasporto quando è richiesto dal lato server stesso. Pertanto, le pagine in cui vengono visualizzati i dati di accesso / autenticazione o riservati sono protetti con HTTPS e il server che chiama il collegamento tramite HTTP deve essere negato dal server.
A volte ha senso non imporre una sessione sicura per tutte le pagine o dati, ad esempio immagini, poiché il sovraccarico della sessione consumerà più larghezza di banda sia per client che per server.
Per quanto riguarda la sicurezza di HTTPS Everywhere, potrebbe essere protetto, ma non puoi fare affidamento sul suo comportamento e sulle sue proprietà per l'applicazione della sicurezza. In entrambi i casi è necessario assicurarsi che le pagine riservate o le pagine di autenticazione passino attraverso il canale HTTPS che viene applicato dal server.