根据我的阅读，使用 https:// 是安全的。对于为恶意目的设置的网络是否如此？

如果做得对，https仍然是安全的。但是，如果您（主动）接受任何类型的不受信任的证书（自签名或由未知 CA 签名），则可能会发生主动中间人攻击。如果攻击者拥有公共根 CA 或一些中间 CA 或设法颁发特定证书，甚至可以在不需要受害者主动接受欺骗证书的情况下发起此类攻击。虽然这不太可能，但实际上已经完成了。

如果您连接到使用公钥固定或证书固定的站点（例如google.com从谷歌浏览器访问），在这种情况下您仍然是安全的，但仅限于访问这些特定站点。如果攻击者设法窃取了一些高价值证书或为不受固定保护的站点颁发此类证书，那么也可能对其他站点造成伤害，因为诸如 等的高价值站点google-analytics.com通常jquery.com作为脚本包含在其他站点中.

如果我访问我已经登录的网站，因此不输入任何密码，我的这些网站的凭据会被泄露吗？会话劫持呢？

对于 HTTPS，您应该是安全的（见上文）。对于纯 HTTP，它在很大程度上取决于站点。一些网站不仅使用随机会话 cookie，还会在其中添加浏览器指纹。这使得会话劫持更​​加困难，但通常并非不可能。相反，其他网站允许您更改用户密码或重置电子邮件，而无需询问旧密码。在这些情况下，可以永久接管该帐户。

编辑在这里总结好的评论：当您使用未加密的 HTTP（或 FTP）时，任何安全性都会崩溃。从那时起，sslstrip、脚本或 HTML 注入等使攻击者有可能劫持任何东西。所以你最好禁用 HTTP 和 FTP ，这可以通过将相关协议代理设置为不存在的东西来完成。

1. 如果您注意浏览器的安全指示器，HTTPS 是安全的。有多种方法可以将 HTTPS 连接尝试重定向为纯 HTTP，并且可以使用自签名证书执行中间人攻击，但如果您注意，您的浏览器会提醒您这些.

2. 是的。如果连接是通过纯 HTTP 执行的，攻击者可以拦截 cookie 并执行会话窃取攻击。如果您的登录凭据存储在 cookie 中（当您单击“保持登录”时，许多论坛都会这样做），这些也可能被盗；如果网站不要求您重新输入密码来访问或更改您的登录详细信息，则会话窃取攻击可以通过这种方式获取您的凭据。