La chiave della sessione è valida?

La maggior parte delle giustificazioni per sessioni / informazioni non crittografate che servono deriva da non possedere i problemi di sicurezza del visitatore (cliente). Ad esempio, "Il mio server / i miei dati non saranno danneggiati, quindi sto bene". Se è tutto ciò che desideri e stai solo pubblicando contenuti per utenti autenticati / autorizzati (non permettendo loro di cambiare nulla), allora la tua strategia funzionerà.

Quindi ti suggerisco di usare la crittografia. Ottenere e utilizzare un certificato LetsEncrypt non costa nulla in questi giorni (a parte qualche minuto del tuo tempo). Non passerà molto tempo prima che i browser e i motori di ricerca inizino a mettere in guardia gli utenti dai siti non criptati.

... classic MITB, and it would easier due to having no encryption

Per le applicazioni web, MITB ha praticamente lo stesso impatto del compromesso dei clienti. Quindi "crittografia" o altre difese non aiutano affatto.

Da Wikipedia - Articolo MITB :

A MitB attack will be successful irrespective of whether security mechanisms such as SSL/PKI and/or two or three-factor Authentication solutions are in place. A MitB attack may be countered by utilising out-of-band transaction verification, although ...

È possibile aggiungere la convalida lato server per convalidare con OTP in una sola volta. se l'OTP ha verificato una volta, rilasciare la chiave in corrispondenza del confronto. allora potrebbe essere, perché la tua sessione sarà riuscita e l'attaccante che otterrà OTP via MITM invierà la richiesta per l'autenticazione, quindi il server non sarà in grado di verificare perché la chiave di verifica viene rilasciata dal lato server.