Depende de lo que quiera decir con inútil. :) Tiene razón en una configuración estándar, donde está creando una sesión a través de HTTPS, y luego volviendo a HTTP, pero pasando una cookie de sesión (por ejemplo) con sus solicitudes, que el "chico en la cafetería" teórico puede de hecho, vea sus datos y/o tome acciones en su nombre.
La desventaja de usar all-SSL (HTTPS) es tradicionalmente que es costoso desde el punto de vista del computador del lado del servidor, así como incurrir en computación del lado del cliente. (Dólares y servidores para el sitio, páginas de carga más lenta para usted)
Por lo tanto, ejecutar la mayor parte de un sitio en claro ha sido tradicionalmente considerado un "riesgo aceptable" para la mayoría de los usos de la web.
Los dos riesgos a los que se enfrenta son que sus datos sean visibles para los demás y que otros puedan actuar como usted (al usar sus cookies, que pueden robar). Al diseñar un nuevo sitio, debe pensar en los riesgos relativos de ambas cosas. Tenga en cuenta que las instituciones financieras siempre publicarán todas sus páginas a través de HTTPS porque el riesgo no es aceptable: cada página contiene datos confidenciales e incluso el espionaje es malo. Gmail también ofrece una opción de suscripción para obtener HTTPS para todas las sesiones. (Facebook no lo hace, por ejemplo, ni lo hace, por ejemplo, Yahoo Mail).
Probablemente haya notado que muchos sitios que se ejecutan principalmente a través de HTTP protegerán los cambios de configuración críticos con la autenticación de contraseñas. Esta es una de las razones por las que hacen esto: incluso si el chico de la cafetería puede leer tus publicaciones de Facebook que pasan, no puede cambiar tu contraseña y bloquearte sin conocer tu contraseña actual.
Filosóficamente, creo que con el tiempo se presionará un número cada vez mayor de servicios con datos de usuarios privados para pasar (u ofrecer) todos HTTPS a medida que la gente toma conciencia de los riesgos y aumenta el uso de redes wifi públicas.
OMI, acaba de hacer todo en HTTPS. La encriptación no es una tarea cara –
@Jeffrey, en un sitio muy ocupado como google, por ejemplo, la sobrecarga de SSL puede sumar mucho. La mayoría de los sitios no tendrán ese problema aunque – Glen
¡hay mucha gente que estaría en desacuerdo con el hecho de que el cifrado es barato! – Matthew