Я сейчас читал информацию про способы авторизации в вэб-приложения, и в статье есть такой способ как "Forms authentication" и там написано:
<<Необходимо понимать, что перехват session token зачастую дает аналогичный уровень доступа, что и знание username/password. Поэтому все коммуникации между клиентом и сервером в случае forms authentication должны производиться только по защищенному соединению HTTPS.>>
Сам вопрос: может ли злоумышленник благодаря такому способу авторизации как-то навредить приложению либо юзеру, если не брать в расчёт что у юзера будет стоять просто снифер, который уже украдёт все данные
Ссылка на статью:
https://habr.com/ru/company/dataart/blog/262817/ 
