Acabo de leer sobre CRIME que es un ataque para robar información confidencial mediante la creación de solicitudes. ¿Se podría mitigar este ataque, si el servidor no enviara al cliente la clave de sesión real para guardar en una cookie, sino una cadena generada al azar, que se asigna a la clave de sesión? En cada solicitud (o cada 100 solicitudes) esta cadena aleatoria se genera de nuevo, por lo que el cliente tendrá un secreto siempre cambiante en su cookie.
Esto haría que cualquier ataque que requiera muchas solicitudes que contienen el mismo secreto sea muy difícil y también proporcionaría el beneficio de que cada una de las cadenas aleatorias solo es válida por un tiempo muy corto ...
¿Hay algún inconveniente obvio en este enfoque? ¿O algo que en realidad no lo haría más seguro que los métodos actuales?