VolkerK ma rację, ale jego odpowiedź jest po stronie ostrożności. Sesja może być zagrożona przez różnego rodzaju metody. Istnieją sposoby obejścia tego problemu (na przykład użycie buforowanej strony klienta javascript do generowania skrótów w stosunku do ustalonej soli wyzwania wygenerowanego na każdej stronie), ale są one niechlujne. Zdecydowanie najprostszym rozwiązaniem jest zawsze używać SSL. Możesz jednak rozważyć użycie uwierzytelniania digest połączonego z plikiem cookie sesji.
Tor Valamo jest błędny. Obecnie przepustowość jest bardzo niska, jednak trudno jest uzyskać opóźnienie - opóźnienie jest podstawowym wyznacznikiem prędkości przesyłania HTTP (gdzie większość treści jest stosunkowo niewielka). W przypadku żądania HTTP są co najmniej 2 rundy wycieczki do serwera - uzgadnianie TCP, a następnie żądanie/odpowiedź. Będzie on różnił się w zależności od wielkości plików i innych czynników, ale zazwyczaj opóźnienia w obiegu wynoszą 50-70% czasu, jaki upłynął do pobrania obiektu.
Użycie Keep-alive eliminuje jedno z podróży w obie strony, a zatem znacznie zwiększa przepustowość.
W przypadku protokołu SSL jest wymagana co najmniej jedna dodatkowa podróż w obie strony (aby wznowić istniejącą sesję SSL) i więcej niż jedną dla wstępnej negocjacji protokołu SSL. Prawdziwym zabójcą jest to, że niestandardowa implementacja protokołu SSL przez Microsoft oznacza, że nie można używać aliasów keep-alives z niczego innego niż MSIIS podczas rozmowy z klientem MSIE (zobacz dokumentację mod_ssl, aby uzyskać więcej informacji).
Należy również pamiętać, że klient (http-) musi wysłać identyfikator sesji z każdym żądaniem. Jeśli przełączasz się z powrotem na http, ten identyfikator jest prostym plikiem cookie lub nagłówkiem żądania, może on zostać "powąchany", a sesja może zostać przejęta. – VolkerK
Ups, brakujące słowo: "Jeśli przełączasz się z powrotem na http ** i ** ten identyfikator jest prostym plikiem cookie ..." – VolkerK