"DaB." schrieb:
HTTPS braucht zwischen 3 und 10 Mal soviel Rechenzeit
wie HTTP; daher
verwenden wir nur HTTP, ganz einfach, weil wir sonst ein
paar Mal soviele
Rechner bräuchten. HTTPS nur bei der Anmeldung ist auch
Blödsinn, weil das
Cookie bei jeder Anfrage mitgesendet wird und du mit
einem abgefangenden
Cookie genauso viel Unheil in der WP anrichten kannst,
wie mit dem Passwort.
Wenn das Passwort nicht im Cookie enthalten ist und das
Cookie nur eine begrenzte Zeit gültig ist (und vor allem,
wenn es beim Abmelden automatisch ungültig wird), kann man
mit abgefangenen Cookies schon mal deutlich seltener
Unsinn machen als mit einem mitgelesenen Passwort; und man
hat noch eine realistische Chance darauf, dass beim
Unheilanrichten der Accountbesitzer es auf der Stelle
mitbekommt.