IEの保護モード+ SSLログイン=非SSLページ

Question

なしクッキー（http://blog.wolffmyren.com/2011/07/11/ie-protected-mode-ssl/ FWIWは、私も私のブログにこの質問を掲載しました）エンドユーザーが信頼済みサイトリストにサイトを追加する必要はありませんか？

私たちのサイトでSSLログインを有効にすると、SSLページにしかアクセスできないという問題があります。 IEでは、SSLセッション中に作成されたCookieにSSL以外のサービスを提供するページがアクセスできないようにするため、SSL（非常に高価な/リソースの集中）を介してすべてを提供するか、SSLを設定する方法を見つけるとは、ログイン処理中のSSL Cookie

このMSDNの記事（ielowutil.exeとInternet Explorer 8.0とは何が関係していますか）は、私が見つけた最も関連性の高い情報ですが、Windows APIを使用して説明しています。 ASP.NET、JavaScriptなどの優れたソリューションを実装してください。

---

アップデート：私の友人は、これらのリンクを共有、うまくいけば、彼らがお手伝いします：

• http://www.leastprivilege.com/PartiallySSLSecuredWebAppsWithASPNET.aspx
• Partial SSL in ASP.NET Webforms without changing IIS configuration

Answer 1

は、それはあなたが確保与えているIISのように見えますあなたのHTTPS接続上のクッキー。これは実際に非常に感知的です。これらのクッキーは、プレーンなHTTP接続に漏れないように設計されているため、結果が得られます。

セキュリティで保護されていない第2のCookieを作成して、認証情報をサイトのHTTP側に渡すことができます。 しかし、いったんこれをやったら、ある時点でHTTPSに戻る必要がある場合は、正当なHTTPセッション中に実行された、または送信されたことが正当な認証済みユーザによって行われたと仮定しないでください。認証トークンをHTTPSからHTTPに渡すことは可能ですが、それ以外の方法ではできません。 （もちろん、プレーンなHTTPでの攻撃に対してはまだ脆弱ですが、アプリケーションに許容される危険性があります）

この問題の詳細は、Tomcatに適用されるものはany IISを含むWebサーバー）：Tomcat session management - url rewrite and switching from http to https

Answer 2

Brunoは、CookieにSECURE属性が設定されていることを確認する必要があります（F12開発ツールまたはFiddlerを使用してください）。そうであれば、この動作はすべてのブラウザで確認できます。

もしそうでなければ、あなたは信頼ゾーンにいる可能性が高く、http://whatever.comは信頼ゾーンにも存在しない可能性があります。最近は

http://blogs.msdn.com/b/ieinternals/archive/2011/03/10/internet-explorer-beware-cookie-sharing-in-cross-zone-scenarios.aspx