Quando il cookie viene creato dall'app Web, esistono dei contrassegni facoltativi che possono essere impostati per limitare l'utilizzo del cookie. Senza set di flag, i cookie possono essere letti su una connessione non sicura o possono essere utilizzati in modi imprevisti e non pianificati.
Per rimediare alla tua scoperta, dovrai assicurarti che i flag corretti siano impostati quando viene creato il cookie. In una normale app web lo farai modificando il codice sorgente nel punto in cui viene creato il cookie o se stai utilizzando una funzione di libreria per creare il cookie, potrebbe essere un parametro facoltativo.
Per alcune informazioni generali, consulta la pagina OWASP SecureFlag .
Da quando hai notato Exchange 2010, presumo che si tratti di un componente di posta elettronica basato sul Web che consente agli utenti di leggere la posta elettronica nel browser anziché Outlook, ecc. Questa dovrebbe essere un'opzione nella tua web.config
che può essere trovata sotto un percorso come Program Files\Microsoft\Exchange Server\V14\ClientAccess\Owa
. Dopo la tua navigazione, vedo che questo era già risposto su ServerFault
<httpCookies httpOnlyCookies="true" requireSSL="true"/>