[Wikide-l] Login bei Wikipedia (de.wikipedia.org)

[Stefan Knauf]

  "DaB."  schrieb:
> HTTPS braucht zwischen 3 und 10 Mal soviel Rechenzeit 
>wie HTTP; daher 
> verwenden wir nur HTTP, ganz einfach, weil wir sonst ein 
>paar Mal soviele 
> Rechner bräuchten. HTTPS nur bei der Anmeldung ist auch 
>Blödsinn, weil das 
> Cookie bei jeder Anfrage mitgesendet wird und du mit 
>einem abgefangenden 
> Cookie genauso viel Unheil in der WP anrichten kannst, 
>wie mit dem Passwort.

Wenn das Passwort nicht im Cookie enthalten ist und das 
Cookie nur eine begrenzte Zeit gültig ist (und vor allem, 
wenn es beim Abmelden automatisch ungültig wird), kann man 
mit abgefangenen Cookies schon mal deutlich seltener 
Unsinn machen als mit einem mitgelesenen Passwort; und man 
hat noch eine realistische Chance darauf, dass beim 
Unheilanrichten der Accountbesitzer es auf der Stelle 
mitbekommt.