Come hai già detto, un uomo nel mezzo potrebbe prendere il cookie mentre è in transito HTTP quando il flag di sicurezza non è impostato.
Si noti che il flag di sicurezza indica al browser di non trasmettere il cookie quando non è su una connessione sicura. Quindi il contrario di quello che ti aspettavi.
Ora, anche se il tuo sito web è in esecuzione solo su https, un utente nel mezzo potrebbe offrire solo http, proxy dell'applicazione web, connettendoti tramite https.
In questo modo, il cookie verrà inviato su http ogni volta che un utente senza https dappertutto inserisce manualmente l'URL, a meno che tu non abbia anche il set HSTS.
Ma anche se lo hai, un uomo nel mezzo potrebbe rimuovere l'intestazione per i nuovi visitatori sul loro servizio http, rubando i loro cookie. Questo è purtroppo vero anche per il flag di sicurezza.
Quindi, in uno scenario con un uomo nel mezzo, l'impostazione del flag di sicurezza renderà più difficile per l'utente malintenzionato accedere ai cookie degli utenti, anche se il servizio sta offrendo solo https.