Giao thức Bảo mật tầng vận chuyển (Transport Layer Security - TLS) là cơ chế bảo mật triển khai rộng rãi nhất cho các tin nhắn HTTP và bảo vệ Cookie riêng tư. Tuy nhiên, HTTPS (HTTP qua TLS) không thể đảm bảo hoàn toàn tính bảo mật của thông tin trong Cookie bởi vì các cơ chế Cookie độc lập với giao thức TLS. Cụ thể, các máy chủ Web kích hoạt có chọn lọc TLS khi yêu cầu xác thực lẫn nhau hoặc tính bảo mật dữ liệu cần đảm bảo vì hỗ trợ TLS khi cung cấp dịch vụ Web cho người dùng tùy chọn. Vì vậy, cần phải xem xét các cơ chế bổ sung để bảo vệ đầy đủ thông tin trong Cookie. Thông thường, Bảo mật truyền tải nghiêm ngặt HTTP (HSTS) và cờ Cookie là những phương pháp nổi tiếng nhất cho mục đích này.
Tài liệu tham khảo
1. H. Kwon, H. Nam, S. Lee, C. Hahn and J. Hur, "(In-)Security of Cookies in HTTPS: Cookie Theft by Removing Cookie Flags," in IEEE Transactions on Information Forensics and Security, vol. 15, pp. 1204-1215, 2020, doi: 10.1109/TIFS.2019.2938416.