Относительный путь, неправильный в слое представления при хостинге rails3 приложения в подкаталоге с помощью пассажира и апача

Весь Запрос HTTP (и ответ) шифруется, включая URL.

Но да, существует способ, которым взломщик мог захватить полный URL: через заголовок Referer. Если существует какой-либо внешний файл (Javscript, CSS, и т.д.), который не является по HTTPS, полный URL мог быть сниффинговым в заголовке Referer. То же, если пользователь нажимает на ссылку на странице, которая приводит к HTTP (никакой SSL) страницу.

Кроме того, запросы DNS не шифруются, таким образом, взломщик мог знать, что пользователь идет в mysite.com.