No entiendo el propósito del paquete de seguridad de gorila. enlace . Puedo ver que se está utilizando obtener el valor de la cookie en el servidor según el ID de sesión almacenado en el algoritmo de cookie y hashing y los par de llaves. enlace
Entonces, si entiendo correctamente, esto solo protege los datos de la sesión cuando un atacante se ha hecho cargo de la casilla. Porque tendrá problemas para obtener el valor de la sesión con la identificación de la sesión de todos los usuarios. Pero aún así, si se ha hecho cargo de la caja, puede obtener todo lo que quiere, por lo que en realidad no está protegido.
Del mismo modo, este tipo de protección no puede proteger del ataque del hombre medio. Si trata de proteger el ataque del hombre medio, el indicador de seguridad y https es el camino a seguir. ¿Estoy en lo correcto?