httpsを使用すると、コンテンツを暗号化する必要がありますか？

Question

私はhttpsでASP.NETにCookieを書き込もうとしていますが、クライアントマシンにはプレーンテキストのCookieがあります。 Cookieはhttps接続でデフォルトで暗号化されるべきではありませんか？

Answer 1

短い答えはいいえ、クッキーはSSLの下でASP.NETで暗号化されません。 SSLはトランスポートレベルのプロトコルで、クライアントとサーバー間の通信だけを暗号化します。 Cookieとクエリ文字列の値はSSLで暗号化されません。クッキーがクライアントマシン上に置かれると、それはサーバーを離れたどのようなフォーマットでも残されます。

Answer 2

あなたのクッキーは、あなたのブラウザとの間でクッキーを送信中にのみ暗号化されます。 CookieをブラウザのCookieストアで暗号化したい場合は、まずサーバー上で暗号化し、サーバーサイドスクリプトで使用するとサーバー上で復号化する必要があります。

SSL/TLSは、ワイヤで要求/応答を暗号化するための単なるトランスポートセキュリティメカニズムです。クライアントにクッキーを安全に保存するメカニズムはブラウザに任されています（または前述のように、 ）。

Answer 3

暗号化してからブラウザで暗号化する必要があります。

Answer 4

いいえ、AFAIKは転送のみが暗号化され、クライアント側のクッキーは暗号化されません。セキュリティを強化するために、自分で暗号化する必要があります。

Answer 5

これは、Cookieを暗号化するのに役立ちます。 http://www.15seconds.com/Issue/021210.htm

例では、トリプルDESを使用していますが、それはあなたの視点に応じて最適なアルゴリズムである場合とそうでない場合があります。