Добрый день!

Возникла необходимость перевести сайт с HTTP на HTTPS. Первый раз работаю с HTTPS, вот сейчас изучаю на что нужно обратить внимание, и вопрос с куками.

В МАНе по setcookie описывается параметр secure следующим образом:

Указывает на то, что значение cookie должно передаваться от клиента по защищенному HTTPS соединению. Если задано TRUE, cookie от клиента будет передано на сервер, только если установлено защищенное соединение. При передаче cookie от сервера клиенту следить за тем, чтобы cookie этого типа передавались по защищенному каналу, должен программист веб-сервера (стоит обратить внимание на $_SERVER["HTTPS"]).

У меня вопрос по выделенному участку. Не совсем понятно, что именно имеется в виду. Что если запрос производится по HTTP, то не смотря на secure = true, куки все равно будут переданы по HTTP? Или о чем речь? Просто как-то мало логики получается. По мне было бы логичней не "от сервера клиенту", а следить "от клиента серверу"? Будьте добры, разъясните. 

Добавлено через 3 минуты и 35 секунд
Тьфу, вот балда! Перечитал свой вопрос и вроде догнал. В общем, если кука ставится с secure = true, то PHP будет "видеть" ее только при запросе по HTTPS, верно? Это браузер ее как-то помечает, или PHP сам добавляет какую-то информацию к куке?

А если кука установлена с secure = false, то она будет доступна и по HTTP, и по HTTPS, правильно?  

Верно. 
Сам механизм мне не известен (не интересно), но вроде есть такой парамет у кук httpOnly

Это немного другое, в МАНе описано.  Спасибо за участие, вопрос уже саморешен.