Perché non riesci a individuare i cookie, e anche se potessi, non potresti riutilizzarli.
Una richiesta HTTP effettiva assomiglia a questo, e l'intera cosa è crittografata:
GET /wiki/Main_Page HTTP/1.1
Host: en.wikipedia.org
Accept: text/html,application/xhtml+xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36 OPR/18.0.1284.49
Referer: http://en.wikipedia.org/wiki/Main_Page
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.8
Cookie: centralnotice_bucket=0-4.2; uls-previous-languages=%5B%22en%22%5D
Connection: keep-alive
Si noti che il cookie è mescolato con un sacco di altre cose. Non puoi prendere un cookie crittografato perché non riesci a trovarlo (è circondato da elementi che variano da browser a browser e persino richiesta di richiesta). Anche se è possibile trovarlo, SSL include misure per impedire a un utente malintenzionato di inviare nuovamente una richiesta (un attacco di riproduzione ), e include un codice di autenticazione dei messaggi (MAC) per impedire a un utente malintenzionato di dividere una richiesta e usarne solo una parte.
Inoltre, SSL utilizza una chiave di crittografia diversa per ogni connessione. Anche se potessi prendere i cookie crittografati e bypassare il MAC, scopriresti che sono stati crittografati con la chiave sbagliata per poterli utilizzare.