Non capisco lo scopo del pacchetto securecokie da gorilla. link . Vedo che viene utilizzato per ottenere il valore del cookie sul server in base all'ID di sessione archiviato in cookie e algoritmo di hashing e keypairs. link
Quindi, se ho capito bene, questo protegge solo i dati della sessione quando un attaccante ha preso il controllo della scatola. Perché avrà problemi a ottenere il valore della sessione con tutti gli ID di sessione dell'utente in mano. Ma comunque, se ha preso il controllo della scatola, può ottenere tutto ciò che vuole, quindi in realtà non è protetto.
Allo stesso modo, questo tipo di protezione non può proteggere dall'attacco di un uomo medio. Se cerca di proteggere l'attacco da uomo medio, la bandiera sicura e https è la strada da percorrere. Sono corretto?