In una tipica sessione di session riding , l'hacker induce la vittima a inviare una richiesta HTTP a un sito Web a cui è già stato effettuato l'accesso. Ad esempio, l'inganno della vittima fa clic su un link per attivare un attacco CSRF. Il browser include il cookie di sessione (e tutti gli altri cookie per quel sito) nella richiesta HTTP, pertanto l'utente malintenzionato può eseguire qualsiasi operazione, possibilmente dannosa, che la vittima dell'operazione è autorizzata a eseguire.
HTTPS crittografa l'intero pacchetto, rendendo impossibile la lettura del contenuto, inclusi intestazioni e cookie. Ma protegge l'utente dagli attacchi session riding , o il browser includerà ancora i cookie e utilizzerà automaticamente la crittografia corretta?