"DaB." schrieb:
HTTPS braucht zwischen 3 und 10 Mal soviel Rechenzeit wie HTTP; daher verwenden wir nur HTTP, ganz einfach, weil wir sonst ein paar Mal soviele Rechner bräuchten. HTTPS nur bei der Anmeldung ist auch Blödsinn, weil das Cookie bei jeder Anfrage mitgesendet wird und du mit einem abgefangenden Cookie genauso viel Unheil in der WP anrichten kannst, wie mit dem Passwort.
Wenn das Passwort nicht im Cookie enthalten ist und das Cookie nur eine begrenzte Zeit gültig ist (und vor allem, wenn es beim Abmelden automatisch ungültig wird), kann man mit abgefangenen Cookies schon mal deutlich seltener Unsinn machen als mit einem mitgelesenen Passwort; und man hat noch eine realistische Chance darauf, dass beim Unheilanrichten der Accountbesitzer es auf der Stelle mitbekommt.