Una cookie se almacena en el cliente y se envía al servidor cuando las "condiciones son correctas" (en particular, las cookies están asociadas a un servidor y se envían de vuelta a ese servidor solo ) . Una cookie marcada como segura es una cookie que se enviará al servidor solo cuando la conexión sea "segura" (es decir, SSL, también conocida como "HTTPS").
El contenido de la cookie está bajo el control del servidor: el navegador almacenará en la cookie solo lo que el servidor le dice que almacene. Marcar una cookie como "segura" tiene sentido si el contenido de la cookie es sensible de alguna manera (son confidenciales o no deberían permitir alteraciones externas o, más a menudo, ambas al mismo tiempo). Si los contenidos de las cookies son confidenciales, nunca deben enviarse a través de HTTP simple; no cuando la cookie se envía de nuevo al servidor (el indicador "seguro" se refiere a dar instrucciones al navegador para que no cometa ese error específico), sino también cuando se crea la cookie inicialmente.
En pocas palabras, si el servidor envía, a través de HTTP simple , una cookie para almacenamiento en el cliente con el indicador "seguro", entonces algo está mal .
En palabras aún más cortas: necesita HTTPS en todo el sitio . Parcial HTTPS es difícil de hacer bien (hasta cierto punto, es matemáticamente imposible para hacerlo bien).