Estoy aprendiendo administración de sesiones y tengo dos preguntas para las que no pude encontrar respuestas en la web.
Una vez que el usuario se autentica, el servidor crea el ID de sesión y lo envía al cliente (usuario) en forma de una cookie. Esta cookie se usa posteriormente en las solicitudes que el cliente envía al servidor para identificarse entre otros usuarios.
Ahora, en una sesión HTTPS, las solicitudes enviadas entre el cliente y el servidor están protegidas, ya que las solicitudes del cliente se cifran utilizando la clave pública del servidor, y solo se puede descifrar utilizando la clave privada que solo tiene el servidor .
Pero inicialmente, cuando el servidor envía la información de la cookie al cliente, cualquier persona puede interceptarla, incluso si esta cookie que contiene el ID de sesión está cifrada con la clave privada. Puede ser descifrado por cualquier persona que tenga la clave pública. Entonces, mi pregunta es:
-
¿Cómo se asegura el servidor de que la ID de sesión creada por el servidor se envíe de forma segura al cliente?
-
Me enteré de que el cliente envía la cookie para cada solicitud que realiza al servidor. En una solicitud GET, ¿cómo envía el cliente la información de la cookie, ya que GET no incluye el cuerpo?