Mi comprensión del indicador seguro en las cookies HTTP es: evitará que el cliente envíe cookies en una conexión HTTP, lo que evitará que un atacante MITM capture los detalles de la cookie.
¿Qué sucede si una aplicación web se ejecuta solo en HTTPS? ¿Sigo necesitando el indicador de seguridad en cada cookie HTTP? Si es así, ¿cómo aumentaría eso la seguridad?
Como ya dijiste, un hombre en el medio podría agarrar la cookie mientras está en tránsito HTTP cuando la bandera de seguridad no está establecida.
Tenga en cuenta que el indicador de seguridad le indica al navegador que no transmita la cookie cuando no está en una conexión segura. Así que al revés de lo que esperaba.
Ahora, incluso si su sitio web solo se está ejecutando en https, un hombre en el medio puede ofrecer solo http, como proxy de su aplicación web, conectarse a través de https.
De esta manera, la cookie se enviará a través de http cada vez que un usuario sin https ingrese la URL manualmente, a menos que también tenga configurado el HSTS.
Pero incluso si lo ha hecho, un hombre en el medio podría eliminar el encabezado de los nuevos visitantes en su servicio http, robando su cookie. Sin embargo, esto también es lamentablemente cierto para el indicador de seguridad.
Entonces, en un escenario con un hombre en el medio, establecer la marca de seguridad hará que sea más difícil para el atacante obtener acceso a las cookies de los usuarios, incluso si su servicio solo ofrece https.
¿Qué sucede si una aplicación web se ejecuta solo en HTTPS?
Si el cliente se conecta exclusivamente al servidor mediante HTTPS, el indicador de seguridad no tiene efecto. Tenga en cuenta que esto es independiente de lo que hace el servidor.
Si tiene control total sobre el cliente, como una aplicación de teléfono o una aplicación de escritorio, puede imponer conexiones solo de HTTPS. En un navegador, puede hacer cumplir las solicitudes HTTPS utilizando HSTS .