La mia comprensione del flag di sicurezza sui cookie HTTP è: impedirà al client di inviare cookie in una connessione HTTP, impedendo a un utente malintenzionato MITM di acquisire i dettagli del cookie.
Cosa succede se un'applicazione Web è in esecuzione solo su HTTPS? Ho ancora bisogno del flag di sicurezza su ogni cookie HTTP? In tal caso, come aumenterebbe la sicurezza?
Come hai già detto, un uomo nel mezzo potrebbe prendere il cookie mentre è in transito HTTP quando il flag di sicurezza non è impostato.
Si noti che il flag di sicurezza indica al browser di non trasmettere il cookie quando non è su una connessione sicura. Quindi il contrario di quello che ti aspettavi.
Ora, anche se il tuo sito web è in esecuzione solo su https, un utente nel mezzo potrebbe offrire solo http, proxy dell'applicazione web, connettendoti tramite https.
In questo modo, il cookie verrà inviato su http ogni volta che un utente senza https dappertutto inserisce manualmente l'URL, a meno che tu non abbia anche il set HSTS.
Ma anche se lo hai, un uomo nel mezzo potrebbe rimuovere l'intestazione per i nuovi visitatori sul loro servizio http, rubando i loro cookie. Questo è purtroppo vero anche per il flag di sicurezza.
Quindi, in uno scenario con un uomo nel mezzo, l'impostazione del flag di sicurezza renderà più difficile per l'utente malintenzionato accedere ai cookie degli utenti, anche se il servizio sta offrendo solo https.
What if a Web application is running only on HTTPS?
Se il client si connette esclusivamente al server tramite HTTPS, il flag di sicurezza non ha alcun effetto. Nota che questo è indipendente da ciò che fa il server.
Se hai il pieno controllo sul client, ad esempio un'applicazione per telefono o un'applicazione desktop, puoi applicare le connessioni solo HTTPS. In un browser puoi applicare le richieste HTTPS utilizzando HSTS .