SECUREでクッキーを保存すると、httpsからアクセスしなければクッキーを出力しなくなります。
SECUREで無い場合、当該サーバーのhttpの画面にアクセスした時にもPCはクッキーを出力してしまいますので、暗号化されないクッキー情報がWEBに送信されてしまいます。
これをクロスサイトスクリプティングの脆弱性と言っていたと思います。
IDやパスワードなどをクッキーに保存している場合、必ずSSLでアクセスするようにして、クッキーもSECRUE属性を付けておくとよいと思います。