<div dir="ltr">After looking at the code again, I think that is indeed the problem: cookies with domains of the form .<a href="http://example.com">example.com</a> (with a leading dot) will only be secured by rulesets with target hosts of the form *.<a href="http://example.com">example.com</a> (<a href="http://example.com">example.com</a> and <a href="http://www.example.com">www.example.com</a> are not enough). I’ll need to test this.<br>
<div><div class="gmail_extra"><br></div><div class="gmail_extra">I’m no closer to explaining why such cookies exist in the first place.<br></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr"><div>--<br>Brian Drake<br>
<br>All content created by me: <a href="http://www.wipo.int/treaties/en/ip/berne/trtdocs_wo001.html" target="_blank">Copyright</a> © 2014 Brian Drake. All rights reserved.<br></div></div></div>
<br><div class="gmail_quote">On Fri, Jan 17, 2014 at 0326 (UTC), Drake, Brian <span dir="ltr"><<a href="mailto:brian@drakefamily.tk" target="_blank">brian@drakefamily.tk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div>HTTPS Everywhere only secures cookies if it looks like the domain is available over HTTPS. I don’t remember seeing any code to deal specially with dots at the start. Maybe that’s giving it trouble. I’d have to look at the code again.<br>

</div><div><div><div class="gmail_extra"><div class="im"><br clear="all"><div><div dir="ltr"><div>--<br>Brian Drake<br><br>All content created by me: <a href="http://www.wipo.int/treaties/en/ip/berne/trtdocs_wo001.html" target="_blank">Copyright</a> © 2014 Brian Drake. All rights reserved.<br>

</div></div></div>
<br></div><div><div class="h5"><div class="gmail_quote">On Wed, Jan 15, 2014 at 1001 (UTC), Drake, Brian <span dir="ltr"><<a href="mailto:brian@drakefamily.tk" target="_blank">brian@drakefamily.tk</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div>How do cookies work? Mozilla claims to follow RFC 6265 [1], which seems to prohibit domains starting with a dot.<br><br></div>Yet, when I go to <a href="http://icabanken.se" target="_blank">icabanken.se</a> using the proposed ICA Banken ruleset [2], using Firefox or Iceweasel, I get cookies that say “Domain: .<a href="http://icabanken.se" target="_blank">icabanken.se</a>”.<br>


<div><br></div><div>I also have an issue with securing cookies with the <securecookie> tag.<br></div><div><br>Continuing with the ICA Banken example, here is what I observe generally. The cookies that say “Host: <a href="http://www.icabanken.se" target="_blank">www.icabanken.se</a>” have the Secure flag set. The cookies that say “Domain: .<a href="http://icabanken.se" target="_blank">icabanken.se</a>” do not have the Secure flag set. I found one exception, where even a cookie limited to <a href="http://www.icabanken.se" target="_blank">www.icabanken.se</a> failed to be secured.<br>


</div><div><br></div><div>I observed all this in Firefox 25.0/HTTPS Everywhere 3.4.5 and Iceweasel 17.0.5/HTTPS Everywhere 3.1.4.<br></div><div><br>[1] <a href="https://developer.mozilla.org/en-US/docs/Web_Development/HTTP_cookies" target="_blank">https://developer.mozilla.org/en-US/docs/Web_Development/HTTP_cookies</a><br>


<div><div>[2] <a href="https://lists.eff.org/pipermail/https-everywhere-rules/2014-January/001819.html" target="_blank">https://lists.eff.org/pipermail/https-everywhere-rules/2014-January/001819.html</a><br></div><div><br clear="all">

<div>
<div dir="ltr"><div>--<br>Brian Drake<br><br>All content created by me: <a href="http://www.wipo.int/treaties/en/ip/berne/trtdocs_wo001.html" target="_blank">Copyright</a> © 2014 Brian Drake. All rights reserved.<br></div>


</div></div>
</div></div></div></div>
</blockquote></div></div></div></div></div></div></div>
</blockquote></div></div></div></div>