hallo

Besser ist es tatsächlich, verschlüsselt zu arbeiten und ein zweites Credential mitzuführen (Extra-Cookie). Dann kann man, auch wenn eine Session zufällig|absichtlich getroffen wird, immer noch erkennen, dass etwas nicht stimmt. Da der Cookie in der Payload liegt, ist er vor dem Zugriff unterwegs sicher. Und die Wahrscheinlichkeit, dass man zeitnah auch den Cookie errät passend zum Session-Token ist tatsächlich sehr unwahrscheinlich, da der namensraum der Session alleine dem Affektierten User gehört, also keine Streudichte berücksichtigt werden muss.

Bei https gehen wir eher von MITM-Angriffen aus, und da ist es egal wie du Tokens behandelst.