Das ist mal was interessantes!

Also müsste, um das sicherer, zu machen solch ein Key nicht als Cookie abgelegt werden.
Oder zumindest eben nicht auf die Platte geschrieben werden. Es ist ja eh nur für die aktuelle Session gültig.

Damit ist faktisch jede Art von Passwort elegant zu umgehen solange der Angreifer schon im System ist.

Das sollte auf die Todoliste von Browserherstellern. Cookies nicht mehr auf die Platte zu schreiben wenn da ein Sessionkey drinne ist