Mi pregunta es qué sucede si un atacante toma un paquete cifrado de la red y lo envía en su nombre al servidor. Cómo el servidor identificará que no es un usuario legítimo. En HTTP, utilizando cookies, obtenemos la identidad de un usuario; de lo contrario, HTTP es un protocolo sin estado. Ahora, ¿cómo HTTPS lo hace con estado?