- Mettre l’option 'secure' à `true` dès qu’on est en HTTPS
- Mettre l’option 'secure' à `true` si la constante `_COOKIE_SECURE` est définie (mais deprecated)
  (auparavent uniquement sur les cookies _COOKIE_SECURE_LIST + spip_session);
- Appeler la plupart des cookies pour SPIP avec l’option 'httponly' à `true`
- Déprecier la constante `_COOKIE_SECURE_LIST` (utiliser l’option 'httponly' à `true` sur les appels concernés)

Refs: #5552