On Wed, Oct 27, 2010 at 8:33 PM, Raul Suarez <span dir="ltr"><<a href="mailto:rarsa@yahoo.com">rarsa@yahoo.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div class="im">--- On Tue, 10/26/10, Lori Paniak <<a href="mailto:ldpaniak@fourpisolutions.com">ldpaniak@fourpisolutions.com</a>> wrote:<br>
> Additional motivation for major sites to get their SSL act together<br>
> would be boycotts of those that exchange credentials in clear text.<br>
<br>
</div>The way I understood it is that it is not the credentials that are captured but the identity stored in a cookie.<br></blockquote><div><br>Yes.<br><br>Most applications have a cookie that identifies a session, and that in turn is associated with a certain user who is logged on.<br>
 <br></div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Many sites encrypt the login but once authenticated the rest is unencrypted.<br></blockquote><div><br>Yes. <br><br>The login page would be https, but the rest of the pages would be http.<br><br>This scheme is no longer of value.<br>
<br></div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Once you have the identity key, your browser can impersonate the session and get the access the other browser has.<br></blockquote><div><br>Exactly.<br> <br></div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

For the other people that have followed this up, Am I right?<br></blockquote><div><br>Yes. It means they hijack your session cookie and effectively login as you,<br>and have the same privileges as you.<br></div></div>-- <br>
Khalid M. Baheyeldin<br><a href="http://2bits.com">2bits.com</a>, Inc.<br><a href="http://2bits.com">http://2bits.com</a><br>Drupal optimization, development, customization and consulting.<br>Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>
Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>