Quando i cookie di sessione HTTP sono a rischio tramite Wi-Fi?

If I'm using websites that do not use HTTPS, but I'm on a WEP-protected Wi-Fi network, are my cookies safe from being sniffed by third-parties?

No. Gli outsider possono rompere le reti WEP quasi come se non fossero affatto crittografate, al giorno d'oggi. Gli addetti ai lavori hanno ancora più facilità di accesso. Anche sulle reti WPA / WPA2, esistono ancora degli exploit che consentono agli addetti ai lavori di filtrare il traffico degli altri sulla rete. Infine, c'è sempre il rischio che qualcuno ascolti sul lato cablato della rete in cui i tuoi dati non sono protetti dalla crittografia usata via etere.

Are cookies only at risk during login, or am I at risk any time I use HTTP?

I tuoi dati sono a rischio ogni volta che vengono inviati in chiaro. Anche se la pagina di accesso è HTTPS, altre pagine web che trasferiscono il cookie di sessione su HTTP possono mettere a rischio l'account. Sei vulnerabile fino a quando rimani connesso e il sito sta trasferendo i tuoi dati non crittografati.

L'unico modo efficace per proteggere i cookie di sessione è utilizzare solo siti Web che trasferiscono tutti i dati su HTTPS in qualsiasi momento o utilizzare una VPN per tutto. Anche in questo caso, la VPN è affidabile quanto il provider di servizi VPN. Esistono anche attacchi MITM contro HTTPS, quindi devi davvero fidarti del sistema e della rete in cui ti trovi se questa è la tua unica protezione.

Related:

modi per proteggersi dai bambini di Firesheep e altri sniffing
Perché FireSheep è un grosso problema?

but I'm on a WEP-protected Wi-Fi network, are my cookies safe from being sniffed by third-parties?

no sull'altro lato della base-station wifi (il backbone ethernet) potrebbe esserci uno sniffer, WEP è solo sul link dal client alla base-station

Are cookies only at risk during login, or am I at risk any time I use HTTP?

i cookie vengono inviati ogni volta che si invia una richiesta al server che imposta i cookie, quindi sì sono a rischio