<div class="gmail_quote">On 18 November 2010 23:56, Mike Perry <span dir="ltr"><<a href="mailto:mikeperry@fscked.org">mikeperry@fscked.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div class="h5"><br>
</div>Be aware that without an additional securecookie rule, your cookies<br>
can still be stolen by an active attacker during this redirect:<br>
<a href="http://fscked.org/projects/cookiemonster" target="_blank">http://fscked.org/projects/cookiemonster</a><br>
<br>
An active attacker can also remove this redirect, as well, by<br>
intercepting the https traffic and serving it to you over http:<br>
<a href="http://www.thoughtcrime.org/software/sslstrip/" target="_blank">http://www.thoughtcrime.org/software/sslstrip/</a><br>
<font color="#888888"><br>
<br>
--<br>
Mike Perry<br>
Mad Computer Scientist<br>
<a href="http://fscked.org" target="_blank">fscked.org</a> evil labs<br>
</font></blockquote></div><br>I have attached the updated rules with secure cookie rule. I wrote this rule based on existing secure cookies rules in for various sites the git repo. The documentation about how to write the rules hasn't been updated to include secure cookies. Due you have any unoffical documentation about secure cookies rules?<br>

Can you verify the rule for secure cookie, whether it is right or not?<br>Thanks<br><br>--<br>Nitrox<br>