En esta pregunta relacionada con las cookies de Google y HTTPonly flag :
[Google] almacena las cosas importantes (por ejemplo, HSID, NID y SSID) como HTTPonly
Además, la cookie SSID está marcada con el Secure flag . Esto significa que el navegador no lo enviará a través de una conexión HTTP simple.
Entonces, para responder a su pregunta, si su ID de sesión le permite acceder a información personal, debe establecer el indicador de seguridad para asegurarse de que nunca se filtre a través de HTTP simple. De lo contrario, un atacante podría forzar una fuga si su víctima navega por su sitio web al incluir una referencia HTTP simple en la página (por ejemplo, <img src="http://example.com/foo" /> ) y luego MITM la conexión.
Sin embargo, puede ser aceptable para los identificadores de sesión que no permiten el acceso a información confidencial. Por ejemplo, puede configurar una cookie para permitir que un usuario agregue elementos a su cesta y luego, al proceder a la comprobación, el contenido de la sesión insegura se transfiere a la sesión segura que se realiza solo a través de HTTPS. Un atacante solo puede interceptar la sesión insegura y posiblemente agregar o cambiar elementos de la cesta, aunque el sitio le pide al usuario que confirme su pedido una vez que se hayan transferido los contenidos, no puede obligar al usuario a ordenar algo. Además, todos los datos personales están protegidos, ya que las cestas se consideran anónimas hasta que se alcanza la comprobación de HTTPS.
Creo que Google utiliza cookies no seguras y no solo http para elementos de una manera similar. El SSID parece ser el identificador de sesión importante y está protegido por ambas marcas.