Un " man in the middle ", per definizione, vede tutto il traffico tra i due vittime (cliente e server) e può modificarlo a piacimento. SSL (HTTPS) sconfigge MitM, soggetto ai soliti avvertimenti (il client non deve fidarsi di una CA canaglia, l'utente umano non deve fare clic attraverso gli avvisi del browser su un certificato server non valido). Se un sito è solo HTTPS, il MitM non può fare nulla. Se il sito è solo HTTP, allora il MitM può falsificare e falsificare, alterare e ispezionare i dati a volontà. Se il sito è parzialmente HTTPS, l'utente malintenzionato può giocare con le parti non HTTPS.
Un valore del cookie è un valore inviato dal server, memorizzato sul client, e il client lo rimanda al server ogni volta che ne parla. Se il cookie è stato contrassegnato come "Sicuro" e "HttpOnly" , il cookie sarà al sicuro dal MitM (a almeno, a condizione che non venga sfruttata alcuna vulnerabilità del browser): il cookie verrà inviato solo tramite HTTPS e la navigazione non lo renderà altrimenti accessibile (Javascript pericoloso, inserito nelle parti non HTTPS del sito, non sarà in grado per leggere anche il cookie). Ovviamente, ciò significa anche che il server non riceverà il cookie come parte delle richieste non HTTPS.
È difficile creare un sito HTTP / HTTPS misto che resista agli aggressori MitM, poiché è necessario disporre di alcune nozioni molto chiare sui limiti di sicurezza; e il MitM è in una buona posizione per fare molto danno attraverso le parti non HTTPS del sito. Anche se i flag "Secure" e "HttpOnly" possono mantenere i valori dei cookie fuori dalla portata dell'utente malintenzionato, la sicurezza del sito Web non riguarda esclusivamente i cookie (i coookies sono uno strumento, non un obiettivo). È molto più semplice e molto più sicuro "mordere il proiettile" e andare sul sito HTTPS.