Sto implementando una API Web con cui prevedo di autorizzare l'accesso accettando un nome utente e una password e il nome del sistema e restituendo un sessionid che può essere utilizzato nelle chiamate successive per autorizzare il chiamante.
L'API è disponibile solo con SSL 3.0 o TLS 1.0.
Quali sono gli attacchi principali che sarebbero possibili in questo scenario?
La risposta e i commenti a questa domanda SO sembrano indicare che se il rischio di attacco è proporzionalmente basso, maggiore complessità non migliorerà la sicurezza ma aggiungerà complessità. Mi piacerebbe conoscere le aree di rischio più alte per gli attacchi per determinare le contromisure appropriate, se necessario.