Stavo leggendo su CRIME che è un attacco per sottrarre informazioni sensibili creando richieste. Questo attacco può essere mitigato se il server non invia al client la chiave di sessione effettiva da salvare in un cookie, ma una stringa generata a caso, che mappa la chiave di sessione? Su ogni richiesta (o ogni 100 richieste) questa stringa casuale viene generata di nuovo, quindi il client avrà un segreto in continua evoluzione nel suo cookie.
Questo renderebbe qualsiasi attacco che richiede molte richieste che contengono lo stesso segreto molto difficile e fornirebbe anche il vantaggio che ciascuna delle stringhe casuali è valida solo per un tempo molto breve ...
Ci sono degli svantaggi ovvi a questo approccio? O tutto ciò che in realtà non renderebbe più sicuro dei metodi attuali?