hast du dazu ein paar konkrete Links? Hatte mal über Fundstellen zu "signed session cookie" drübergeschaut.

Puh, mein Wissen bezieht sich aus Bekannten, die bei Google oder Facebook arbeiten (unterschiedliche Bekannte! ;) und verschiedenen Blog-Einträgen/Artikeln, die ich jetzt nicht mehr recht auswendig weiß.

Ich habe gerade einen Blog-Post dazu gelesen, der es mir recht anschaulich darlegt, ich hoffe da steht kein Mist ;-) Wenn ich fragen darf, wie geht ihr für die Signatur hier im Forum vor? Ein Secret, was nur der Server kennt? Dann wären bei einem Servereinbruch ja alle Sessions kompromittierbar. Also vermutlich noch mehr?