Должен ли контент cookie быть зашифрован при использовании https?

Question

Я пытаюсь записать файл cookie в ASP.NET под https, но на клиентском компьютере я вижу текстовый файл cookie. Разве файл cookie не должен шифроваться по умолчанию при подключении https?

Answer 1

Короткий ответ - нет, куки не шифруются в ASP.NET по SSL. SSL - это протокол транспортного уровня, шифрующий только связь между клиентом и сервером. Файлы cookie и значения строки запроса НЕ шифруются с помощью SSL. Когда файл cookie находится на клиентском компьютере, он остается в любом формате, в котором он оставался на сервере.

Answer 2

Ваш файл cookie будет зашифрован только во время передачи файла cookie в / из вашего браузера. Если вы хотите, чтобы cookie-файлы были зашифрованы в хранилище файлов cookie браузера, вам необходимо сначала зашифровать их на сервере, а затем расшифровать на сервере при использовании в серверных сценариях.

SSL / TLS - это всего лишь механизм защиты транспорта для шифрования запросов / ответов по сети, браузер должен предоставить механизм для безопасного хранения файлов cookie на клиенте (или, как уже упоминалось выше, ваше приложение может сделать это) .

Answer 3

Нет, AFAIK только передача зашифрована, cookie на стороне клиента нет. Вы должны зашифровать его самостоятельно для большей безопасности.

Answer 4

Он должен быть зашифрован на проводе, а затем расшифрован вашим браузером.