Wenn man beides (HTTP und HTTPS) benutzt, muss man dann doch aber auch noch aufpassen, was gesendet wird oder?
Angenommen öffentliche Daten werden immer über HTTP ausgeliefert. Man loggt sich ein ist in seinem "Control Center" oder was auch immer, sprich "persönliche" schützenswerte Daten. Die laufen dann über SSL, damit ist dann auch der Session-Cookie verschlüsselt. Aber wenn man dann auf eine statische Resource zugreift (eine Grafik, JavaScript- oder auch CSSS-Datei) und die via HTTP übermittelt wird, ist die Session-ID wieder ungeschützt oder?
MfG
bubble
--
If "god" had intended us to drink beer, he would have given us stomachs. - David Daye
If "god" had intended us to drink beer, he would have given us stomachs. - David Daye