Я хочу понять, как можно осуществить атаку «человек посередине», даже если сеанс не является сеансом без файлов cookie, а файлы cookie также защищены.
Я не изменяю основной сеанс ASP.NETИдентификатор при каждом успешном входе со стороны сервера.Он остается таким же, как и страница входа в систему.
Как злоумышленник может ввести свой sessionID в мой запрос, если это невозможно через URL?