Sto implementando una API Web con cui prevedo di autorizzare l'accesso accettando un nome utente e una password e il nome del sistema e restituendo un sessionid che può essere utilizzato nelle chiamate successive per autorizzare il chiamante.
L'API è disponibile solo tramite SSL 3.0 o TLS 1.0.
Quali sono gli attacchi principali che sarebbero possibili in questo scenario?
La risposta e i commenti a questa domanda su SO sembrano indicare che se il rischio di attacco è proporzionalmente basso, una maggiore complessità non migliorerà la sicurezza, ma aggiungerà complessità. Mi piacerebbe conoscere le aree di rischio più alte per gli attacchi per determinare le contromisure appropriate, se necessario.