Como ya dijiste, un hombre en el medio podría agarrar la cookie mientras está en tránsito HTTP cuando la bandera de seguridad no está establecida.
Tenga en cuenta que el indicador de seguridad le indica al navegador que no transmita la cookie cuando no está en una conexión segura. Así que al revés de lo que esperaba.
Ahora, incluso si su sitio web solo se está ejecutando en https, un hombre en el medio puede ofrecer solo http, como proxy de su aplicación web, conectarse a través de https.
De esta manera, la cookie se enviará a través de http cada vez que un usuario sin https ingrese la URL manualmente, a menos que también tenga configurado el HSTS.
Pero incluso si lo ha hecho, un hombre en el medio podría eliminar el encabezado de los nuevos visitantes en su servicio http, robando su cookie. Sin embargo, esto también es lamentablemente cierto para el indicador de seguridad.
Entonces, en un escenario con un hombre en el medio, establecer la marca de seguridad hará que sea más difícil para el atacante obtener acceso a las cookies de los usuarios, incluso si su servicio solo ofrece https.