In questa domanda relativa ai cookie di Google e Flag HTTPonly :
[Google] store the important stuff (for example, HSID, NID and SSID) as HTTPonly
Inoltre, il cookie SSID è contrassegnato con la Bandiera protetta . Ciò significa che non verrà inviato dal browser tramite una semplice connessione HTTP.
Quindi per rispondere alla tua domanda, se il tuo ID sessione consente l'accesso alle informazioni personali, devi impostare il flag di sicurezza per assicurarti che non sia mai trapelato su un semplice HTTP. In caso contrario, un utente malintenzionato potrebbe forzare una perdita se la vittima sta visitando il suo sito Web includendo un semplice riferimento HTTP nella pagina (ad esempio <img src="http://example.com/foo" /> ) e quindi MITM la connessione.
Tuttavia, potrebbe essere accettabile per gli ID di sessione che non consentono l'accesso a informazioni sensibili. Ad esempio, puoi impostare un cookie in modo che tu possa consentire ad un utente di aggiungere elementi al proprio paniere e quindi quando procede al checkout il contenuto della sessione non sicura viene trasferito alla sessione protetta che è solo su HTTPS. Un utente malintenzionato può solo intercettare la sessione non protetta e eventualmente aggiungere o modificare gli articoli del carrello, sebbene il sito chieda all'utente di confermare il suo ordine una volta che i contenuti siano stati trasferiti e non può costringere l'utente a ordinare qualcosa. Inoltre, tutti i dettagli personali sono protetti in quanto i canestri sono considerati anonimi fino al raggiungimento del checkout HTTPS.
Credo che Google utilizzi cookie non protetti e non solo http per gli articoli in modo simile. Il SSID sembra essere l'identificatore di sessione importante e questo è protetto da entrambi i flag.