Ho alcune domande, tutte relative al titolo.
1) È possibile configurare un server per ricevere i cookie utilizzando https, ma poi servire tutti i contenuti con http?
2) SE fa questo / molti siti fanno questo?
3) È meno costoso sulla CPU fare solo i cookie su HTTPS?
4) Ci sono rischi per la sicurezza di farlo in questo modo rispetto a tutto su HTTPS?
Non ho molta esperienza in quest'area, quindi mi scuso se ho fatto alcune ipotesi errate.
No. Una risposta (e la richiesta associata) è una singola entità composta da intestazioni (una delle quali è i cookie) e il corpo (nel caso della risposta, spesso HTML. Non sono separati.
Poiché la risposta alla domanda 1 è no, anche le risposte alle domande 2, 3 e 4 sono necessariamente no, poiché ciò non è possibile.
Oltre al punto di Xander, il documento HTML è un'intera struttura, non elementi separati:
La sicurezza di HTTPS è parzialmente derivata dall'utente che riconosce che HTTPS è presente. Se il documento è stato trasmesso su HTTP e le impostazioni erano su HTTPS, il browser contrassegna la pagina come HTTP, quindi l'utente non avrebbe un modo per riconoscere una pagina protetta da una pagina non protetta.
Peggio ancora, se la pagina di base è HTTP, un potenziale utente malintenzionato potrebbe manipolare direttamente il contenuto della pagina di base non sicura per modificare il comportamento di come utilizza qualsiasi contenuto sicuro. Ciò elimina qualsiasi vantaggio derivante dall'utilizzo di alcuni elementi sicuri in una pagina non sicura, poiché non vi è alcuna garanzia di sicurezza o di corretto funzionamento della pagina.