En un escenario típico de session riding , el atacante engaña a la víctima para que envíe una solicitud HTTP a un sitio web en el que ya ha iniciado sesión. Por ejemplo, engañar a la víctima para que haga clic en un enlace para desencadenar un ataque CSRF. El navegador incluye la cookie de sesión (y todas las demás cookies para ese sitio) en la solicitud HTTP, por lo que el atacante puede ejecutar cualquier operación de operación, posiblemente maliciosa, que esté autorizada a realizar.
HTTPS cifra todo el paquete, lo que hace que sea imposible leer el contenido, incluidos los encabezados y las cookies. Pero, ¿protege al usuario de los ataques de sesión montada o el navegador seguirá incluyendo las cookies y utilizará el cifrado correcto automáticamente?