経路のセキュリティと同時にセキュアなセッション管理を - SSL/TLS でクッキーを使うときは secure 属性を付けるのを基本とする -

http://www.example.com:443/
というURLにアクセスさせる罠を用意すれば、暗号化されずにCookieが送出される。。とか。
でもこれ、Secure属性が付いていれば送出されないのでは？？とも思う。
うーーん。

https://www.example.com:80/
の場合はどうなるんだろう？　不正なリクエスト扱いで接続できない気もするが。。
ここらへん勉強不足だな。明日調べてみよう。

javascriptでならSecure属性付いてても付いてなくても問題なくCookieにアクセスできる。

かなり久々の技術ネタ（苦笑