https 只是加密了传输过程中的信息，并不代表不可以被侦听    

浏览器第一次访问的时候，服务器颁发加密的公钥证书，浏览器向服务器传送数据的时候用服务器提供的公钥进行加密，服务器用私钥进行解密 

http协议
无内建的机密性安全机制
嗅探或代理截断可查看全部明文信息
https只能提高传输层的安全，即只在传输过程对信息进行加密，而黑客仍然可以在有漏洞的客户端与服务器对已经解密的信息进行截取，嗅探
黑客还可以用中间人劫持方式对流量进行截取，伪造证书

web服务器端使用cookie对客户端进行跟踪
客户端通过提交账号密码给服务器进行身份认证，确认后服务端将cookie发给客户端，后续客户端给服务器端发起访问请求时的http头信息都会带有cookies信息，服务器端之所以能够跟踪客户端是因为有cookies
服务器通过不同的cookie对不同的客户端请求作出响应

不使用cookie的应用，客户端每次请求都要重新身份验证，不现实
Session不等于cookie，真正的session是放在服务端的，客户端得到的只是session的ID
session提高用户体验，因为不需要每一次连接都要验证，但增加了攻击向量
所以在设计程序时session时要把session时效设定为一定的时间，而不能永久

http：明文传输

https：加密传输，只能提高传输层安全