Jak działa flaga „Bezpieczne” pliku cookie?

Wiem, że plik cookie z secureflagą nie zostanie wysłany niezaszyfrowanym połączeniem. Zastanawiam się, jak to działa dogłębnie.

Kto jest odpowiedzialny za określenie, czy plik cookie zostanie wysłany, czy nie?

Klient ustawia to tylko dla połączeń szyfrowanych i jest to zdefiniowane w RFC 6265 :

Atrybut Secure ogranicza zakres pliku cookie do „bezpiecznych” kanałów (gdzie „bezpieczny” jest definiowany przez klienta użytkownika). Gdy plik cookie ma atrybut Secure, agent użytkownika umieści plik cookie w żądaniu HTTP tylko wtedy, gdy żądanie jest przesyłane przez bezpieczny kanał (zwykle HTTP over Transport Layer Security (TLS) [RFC2818]).

Chociaż pozornie przydatny do ochrony plików cookie przed aktywnymi atakami sieciowymi, atrybut Secure chroni tylko poufność pliku cookie. Aktywny napastnik sieciowy może nadpisać Bezpieczne pliki cookie z niezabezpieczonego kanału, zakłócając ich integralność (więcej informacji znajduje się w sekcji 8.6).

Jeszcze tylko słowo na ten temat:

Pomijanie, secureponieważ Twoja witryna example.comjest w pełni https, nie wystarczy.

Jeśli twój użytkownik wyraźnie dociera do niego http://example.com, zostanie przekierowany, https://example.comale to już za późno; pierwsze żądanie zawierało plik cookie.