0
典型的なセッションライディングシナリオでは、攻撃者は被害者マシンに、すでにログインしているWebサイトにHTTPリクエストを送信させます。たとえば、CSRF攻撃の場合にはリンクを開くようになります。ブラウザには、HTTPリクエストにセッションクッキー(およびそのサイトの他のすべてのクッキー)が含まれているため、攻撃者は実行可能な悪意のある操作を実行できます。HTTPSはセッションライディングから保護されていますか?
HTTPSはパケット全体を暗号化するため、ヘッダーやCookieなどのコンテンツを読み取ることができません。しかし、それはセッションライディング攻撃から保護されますか、またはブラウザには依然としてクッキーが含まれ、正しい暗号化が自動的に使用されますか?