我想确定我在考虑多少安全风险
当我让rubycas本身运行在https上，但是我的实际站点
在http下运行我面对这个问题的原因是
站点部署在heroku上，这意味着ssl实际上是
很贵或者很痛苦。
除了登录详细信息外，我还传递用户名单
（授权）存储在会话中的每个站点。
任何意见都非常感谢。

这种方法的问题是sessionid（url或cookie）和交换的数据都没有加密。因此，可以在从服务器到用户和从用户到服务器的过程中读取和操作数据。
即使是一个被动的攻击者，只要嗅探到通信量而不能对其进行操作，也会造成损害：攻击者只需将sessionid复制到自己的浏览器中公共无线连接通常使用透明代理，因此攻击者和受害者都有相同的公共ip地址，这使得应用程序很难将它们区分开来。
有一个叫做Firesheep的工具可以让这种攻击变得非常容易。