реально ли ? в статье про httponly написано что это спасает от БОЛЬШЕНСТВА xss атак нацеленых на краже печенек. они владеют уличной магией или имеют в виду физический доступ к компу ?

А при физ. доступе кроме их отсутствия нечего не спасет.

ok тогда как украсть httpOnly:true куку не имея доступа к компу ? если взять $я_мега_хакер_который_имеет_ доступ_куда_хочет = false? реально ?