¿Puede usar https solo para cookies y no para html?

1

Tengo algunas preguntas, todas relacionadas con el título.

1) ¿Es posible configurar un servidor para recibir las cookies usando https pero luego servir todo el contenido con http?

2) ¿SE hace esto / muchos sitios hacen esto?

3) ¿Es menos costoso para la CPU hacer solo las cookies a través de HTTPS?

4) ¿Existe algún riesgo de seguridad al hacerlo de esta manera a diferencia de todo el protocolo HTTPS?

No tengo mucha experiencia en esta área, así que me disculpo si he hecho algunas suposiciones incorrectas.

    
pregunta AmadeusDrZaius 15.08.2014 - 23:16
fuente

2 respuestas

4
  1. No. Una respuesta (y la solicitud asociada) es una entidad única compuesta de encabezados (uno de los cuales son las cookies) y el cuerpo (en el caso de la respuesta, a menudo HTML. No están separados.

    Dado que la respuesta a la pregunta 1 es no, las respuestas a las preguntas 2, 3 y 4 también son necesariamente no, ya que no es posible hacerlo.

respondido por el Xander 15.08.2014 - 23:22
fuente
4

Además del punto de Xander de que el documento HTML es una estructura completa, no elementos separados:

La seguridad de HTTPS se deriva en parte del usuario que reconoce que HTTPS está presente. Si el documento se transmitiera a través de HTTP y la configuración fuera de HTTPS, el navegador marcaría la página como HTTP, por lo que el usuario no tendría una forma de reconocer una página segura de una página no segura.

Peor aún, si la página base es HTTP, un posible atacante podría manipular directamente el contenido de la página base no segura para modificar el comportamiento de cómo usa cualquier contenido seguro. Esto elimina cualquier beneficio de usar algunos elementos seguros en una página insegura, porque no hay garantía de seguridad o funcionamiento correcto de la página.

    
respondido por el Jeff-Inventor ChromeOS 16.08.2014 - 03:03
fuente

Lea otras preguntas en las etiquetas