Dipende.
Diciamo che abbiamo un server che fornisce solo un servizio HTTPS e utilizza HTTP solo per reindirizzare a HTTPS. Il browser dell'utente viene autenticato utilizzando un cookie di sessione senza la bandiera protetta . Ad un certo punto, questo browser caricherà HTML su un semplice HTTP visitando un altro dominio ( link !), E quindi un uomo nel medio, Eve, può colpire. Nella risposta HTTP, Eve può inserire un tag immagine che costringe il browser a fare una richiesta HTTP al server della vittima:
...
<img src=http://victim_server/favicon.ico></img>
...
Anche se victim_server
non usa HTTP, il browser farà una richiesta HTTP in chiaro che può essere intercettata da Eve.
Quindi, per rispondere alla domanda. Le informazioni sui cookie possono essere protette in un attacco MITM se è impostata la bandiera cookie protetta e l'applicazione non ha altre vulnerabilità come XSS. C'è anche il attacco BEAST e SSLStrip .