... am Ende landet ein Cookie im Browser als Beweis das er authentifiziert wurde. Wird dieses Cookie Abgefangen, kann ein Angreifer damit mit seinem Browser den Login umgehen und ist sofort "drin".
Ich dachte immer ein SessionCookie wird zusätzlich verifiziert und abgesichert, also z.B. mit UserAgent,
IP-Adresse und so weiter.
Klar, auch das kann man faken, aber so ohne Weiteres sollten ein SessionCookie von Browser PC-A bei Browser PC-B doch nicht laufen, oder etwa doch ?