Una revisión de SO no responde categóricamente a esta pregunta. Podría estar implícito, pero me gustaría incluirlo en el registro específicamente.¿SSL también encripta las cookies?
Si SSL está activo, cifrará los datos del encabezado HTTP, como "set-cookie"? Sé acerca de "setSecure" para solo transmitir cookies si HTTPS está activo, pero si SSL está activo, me gustaría confirmar si todos los datos del encabezado están encriptados de manera predeterminada sin la necesidad de usar "setSecure".
Hace algunos buenos comentarios acerca de los ataques orientados al protocolo. Lo mejor es mantener "setSecure (true)" para proteger la información de sesión de la conmutación de protocolos. +1 – giulio