0
Im typischen Session-Riding-Szenario macht der Angreifer die Opfer-Maschine dazu, eine HTTP-Anfrage an die Website zu senden, in der sie bereits eingeloggt sind, zum Beispiel das Opfer im Falle eines CSRF-Angriffs zu öffnen. Der Browser enthält den Sitzungscookie (und alle anderen Cookies für diese Site) in der HTTP-Anfrage, so dass der Angreifer jede - möglicherweise böswillige - Operation durchführen kann, die das Opfer ausführen darf.Schützt HTTPS vor Sitzungsreiten?
HTTPS verschlüsselt das gesamte Paket und macht es so unmöglich, den Inhalt einschließlich der Header und Cookies zu lesen. Aber schützt es vor Session-Riding-Angriffen, oder fügt der Browser die Cookies noch ein und verwendet die korrekte Verschlüsselung automatisch?