Falls eine Website über HTTP und HTTPS erreichbar ist, werden gespeicherte Cookies bei Zugriff über HTTP unverschlüsselt versendet. D.h. selbst wenn ein User normalerweise auf eine Seite nur über HTTPS zugreift, kann ein Angreifer seine Cookies unverschlüsselt abgreifen falls er es schafft, dass der User auf die HTTP Version zugreift. Um dies zu verhindern kann das Secure Flag eines Cookies gesetzt werden. Dadurch wird ein Cookie nur noch bei einer HTTPS Verbindung übertragen. Dies bedeutet jedoch auch, dass das Cookie über eine HTTP Verbindung nicht mehr zur Verfügung steht.

Im Folgenden wird beschrieben, wie es möglich ist, das Secure Flag global für Cookies zu setzen. Es besteht auch die Möglichkeit das Flag in der Applikationssoftware individuell für spezifische Cookies zu setzen.

Folgender Befehl muss abhängig von der Apache Version in die httpd.conf bzw. apache2.conf eingefügt werden:

<pre> Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure <\pre>