Nach Keksen sieht es nicht aus, weil sonst hätte man die doch im Response-Header sehen müssen?
Außer die senden den Keks nicht immer, sondern erst nach erfolgreichem Login.
Würdest du den Highend-Super-Entwicklern vom GetIt nicht zutrauen, dass man die geheimen Serials wirklich nicht jedes mal unverschlüsselt mitsenden muß?