StackoverflowはどのようにユーザーをHTTP経由でサインインしますか？

Question

私は、stackoverflowがログインページでSSLを使用するだけで、HTTP経由で質問/回答を投稿できることに気付きました。

SSLを使用していない場合、どのユーザーがログインしているかを追跡するためにstackoverflowがどのように管理するのか、ユーザーはログインする必要があります。

現在、私はクッキーを使ってステータスを記録しているレールアプリを作っています。私はいつもSSLを安全に行う必要があると考えてきました。しかし、私はこれを、ログインしたユーザーとして、HTTP経由で公開しています。

tcpdump -i eth0 -Aを実行してstackoverflowにアクセスし、このCookieがSSLなしでプレーンテキストで送信されると、「usr」という名前のCookieに気づきました。 wifiカフェのような安全でない接続を介してログインした場合、ハッカー/パケットスニッファーがmy usr cookieを取得してセッションを再生できますか？

（私のホストがそれを実装するためにアームと脚を充電するので）私のレールアプリでSSLを使用しないようにしたいので、私はstackoverflowと同じテクニックを使いたいと思います。私は、SSLなしでユーザーをログインさせておきたい。

私はデータベース（またはmemcache/redis）セッションストアがここで使用されていると推測しています。しかし確かに何らかのクッキーが必要ですか？どのようにこれらのクッキーをSSL経由で送信する必要はありませんか？これらのクッキーを異なるマシン上のハッカーに重複させる背景に何か他のものがありますか？

Answer 1

あなたのアプリケーションで使用することができると思われることは次のとおりです。ユーザーがログインページからログインすると、2種類のCookieが作成されます。 2番目のCookieを作成してHTTPSページにのみ戻し、他のすべてのページ（HTTP & HTTPSを含む）は、セッションを維持するために最初のCookie（ユーザーセッションcookie）を使用し、セキュリティ情報を格納するすべてのページユーザー専用の2番目のHTTPSクッキーを使用します。

このようにページクッキーはセッションクッキーを使用して表示できますが、表示したい瞬間には2番目のユーザー情報ページを表示しますHTTPS Cookie ..

何か意味があると思っています。