私が持っているASP.net4.0サイトは、常にSSLで実行する必要があります。次のようにSSLCookieを返すように.Netを構成しました。
<authentication mode="Forms">
<forms cookieless="UseCookies" requireSSL="true" />
</authentication>
と
<httpCookies httpOnlyCookies="true" requireSSL="true" />
ChromeでCookie情報を表示すると、Cookieは安全であると表示されます。FirefoxのWebDeveloperツールバーで表示すると、セキュアであると表示されます。また、「Cookieの表示」と呼ばれるFireFoxプラグインも試してみました。
ただし、Firebug> Net> HTML> Cookiesに移動してFirebugのCookieを表示すると、どのCookieも安全ではない([セキュリティ]列が空である)と表示されます。非常に奇妙なことは、Firebug> Cookiesに移動すると、Cookieが安全であると表示されることです。
Firebugのネットタブが教えてくれていることを読み間違えていますか?[Cookie]タブと同じことを言うべきではありませんか?