Wiesz co tak pod reką nic nie mam, ale generalnie z takich rzeczy, o które warto zadbać zeby się zabezpieczyć to jest: kierowanie całego ruchu, który ma cokolwiek związane z sesja (czy to ją tworzy, czy w niej coś umieszcza, czy z niej czyta) po https.

Z innych mechanizmów zabezpieczeń można przepisywać wartość ciasteczka sesyjnego (idetyfikator sesji) przy kadym requeście kierowanym do aplikacji, to tez znacząco obniza ryzyko przejęcia sesji. Warto też stosować bardzo dlugie identyfikatory tak aby próba reprodukcji identyfikatora była trudniejsza.

Są tez mechanizmy „na sztywno” wiązania sesji z użytkownikiem (poszukaj o session fixtation) lub wiązania sesji z czymś co konkretnie identyfikuje komputer/urządzenie mobilne, z ktorego korzysta uzytkownik – przykladowo adres ip.

masz może jakieś artykuły na ten temat do poczytania? Szczególnie związane z mechanizmami weryfikującymi to czy ciastko nie zostało przeklejone.

Z mojego doświadczenia warto tez uważać na serializację sesji w Javie, może się to odbić czkawką oraz na problem podkradania sesji – jeżeli posługujemy się tzw. ciastkiem sesyjnym trzeba wprowadzić dodatkowe mechanizmy weryfikujące ze ciastko nie zostało po prostu przeklejone (w wyniku kradzieży przykladowo).