[解決済み] Cookieの "Secure "フラグはどのように機能するのですか？

質問

私は、クッキーに secure フラグが付いたクッキーは、暗号化されていない接続では送信されないことは知っています。この点はどうなんでしょうね。

クッキーが送信されるかどうかを決定する責任は誰が負うのですか？

どのように解決するのですか？

クライアントは暗号化された接続に対してのみこれを設定し、この設定は RFC 6265 で定義されています。 :

Secure属性はクッキーの範囲を"secure"チャンネルに制限します(ここで"secure"はユーザエージェントによって定義されます)。クッキーが Secure 属性を持つとき、ユーザエージェントはリクエストが安全なチャネル (典型的には HTTP over Transport Layer Security (TLS) [RFC2818]) で伝送される場合にのみ、HTTP リクエストにクッキーを含めます。

アクティブなネットワーク攻撃者からクッキーを保護するために一見有用ですが、Secure属性はクッキーの機密性だけを保護します。活発なネットワーク攻撃者は、安全でないチャネルからSecure Cookieを上書きし、その完全性を破壊することができます (詳細については、セクション8.6を参照してください)。