这取决于你所说的毫无意义是什么意思。:) 你是正确的,在标准设置中,你通过 HTTPS 创建一个会话,然后恢复到 HTTP,但在你的请求中传递一个会话 cookie(比如说),理论上的“咖啡店里的人”可以事实上,您可以查看您的数据和/或代表您采取行动。
传统上,使用全 SSL (HTTPS) 的缺点是,从服务器端计算的角度来看,它的成本很高,并且会在客户端产生计算。(网站的美元和服务器,您的加载速度较慢的页面。)
因此,对于大多数网络使用而言,以畅通无阻的方式运行大部分网站传统上被认为是“可接受的风险”。
您面临的两个风险是您的数据被其他人看到,以及其他人能够冒充您(通过使用您的 cookie,他们可以窃取这些 cookie)。在设计新网站时,您应该考虑这两件事的相对风险。请注意,金融机构将始终通过 HTTPS 提供其所有页面,因为风险是不可接受的——每个页面都包含敏感数据,甚至窃听也是不好的。Gmail 还提供了一个选择加入选项,可以为所有会话获取 HTTPS。(但 Facebook 没有,Yahoo! Mail 等也没有)。
您可能已经注意到,许多主要通过 HTTP 运行的站点将通过密码重新身份验证来保护关键设置更改。这是他们这样做的原因之一:即使咖啡店里的人可以阅读你的 Facebook 帖子,他也无法在不知道你当前密码的情况下更改你的密码并将你锁在门外。
从理论上讲,我的猜测是,随着人们意识到风险以及公共 Wifi 网络使用的增加,随着时间的推移,越来越多的包含私人用户数据的服务将被迫转向(或提供)全 HTTPS。