HTTPセッションCookieはいつWi-Fi経由で危険にさらされますか？

HTTPSを使用しないWebサイトを使用しているが、WEPで保護されたWi-Fiネットワークを使用している場合、サードパーティによってCookieが盗聴されることはありませんか？

いいえ最近、部外者はまるで暗号化されていないかのようにWEPネットワークをクラックできます。インサイダーはアクセスがさらに簡単です。 WPA/WPA2ネットワーク上でも、インサイダーがネットワーク上の他のユーザーのトラフィックを盗聴できるようにするエクスプロイトがまだあります。最後に、無線で使用される暗号化によってデータが保護されていないネットワークの有線側で誰かが傍受する危険が常にあります。

Cookieはログイン時にのみ危険にさらされますか、それともHTTPを使用するときに危険にさらされますか

データは平文で送信されるといつでも危険にさらされます。ログインページ自体がHTTPSであっても、セッションCookieをHTTP経由で転送する他のWebページそのアカウントを危険にさらす可能性があります。ログインしたままで、Webサイトがデータを暗号化せずに転送している間は、脆弱です。

セッションCookieを保護する唯一の効果的な方法は、常にHTTPSを介してすべてのデータを転送するWebサイトのみを使用するか、すべてにVPNを使用することです。それでも、VPNはVPNサービスプロバイダーと同じくらい信頼できるだけです。 HTTPSに対するMITM攻撃もあるので、それが唯一の保護手段である場合、実際に使用しているシステムとネットワークを信頼する必要があります。

関連：

Firesheepの子供や他の盗聴から身を​​守る方法
FireSheepがなぜそれほど重要なのですか？