Сессионные куки быстро становятся стандартным способом управления входом в систему.Однако, если отправлено в незашифрованном виде, довольно просто перехватить чей-то сеанс ala Firesheep .
Теперь вы можете решить эту проблему, заставив весь сайт использовать HTTPS, но если кто-то введет mysite.comбраузер по умолчанию использует http.Мы можем решить эту проблему с помощью перенаправления:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Но к тому времени, когда я получаю возможность перезаписать URL, мой сеансовый cookie-файл уже не был отправлен по небезопасному каналу?