¿Está bien una clave de sesión única?

La mayoría de las justificaciones para un servicio de sesiones / información no cifrado se debe a que no son responsables de la seguridad de los visitantes (clientes). es decir, "Mi servidor / mis datos no serán dañados, así que estoy bien". Si eso es todo lo que quiere y solo está sirviendo contenido a usuarios autenticados / autorizados (no les permite cambiar nada), entonces su estrategia funcionará.

Así que te sugiero que uses cifrado. Obtener y usar un certificado LetsEncrypt no cuesta nada en estos días (excepto unos pocos minutos de su tiempo). No pasará mucho tiempo antes de que los navegadores y los motores de búsqueda comiencen a advertir a los usuarios que se alejen de los sitios no cifrados.

  

... MITB clásico, y sería más fácil debido a que no tiene cifrado

Para aplicaciones web, MITB tiene prácticamente el mismo impacto que el compromiso del cliente. Así que el "cifrado" u otras defensas no ayudan en absoluto.

De la Wikipedia - Artículo de MITB :

  

Un ataque MitB será exitoso independientemente de si existen mecanismos de seguridad como SSL / PKI y / o de autenticación de dos o tres factores. Un ataque MitB se puede contrarrestar utilizando la verificación de transacciones fuera de banda, aunque ...

Puede agregar la validación del lado del servidor para validar con OTP a la vez. si OTP se verificó una vez, suelte la tecla donde se realiza la comparación. entonces puede ser, debido a que su sesión será exitosa y el atacante que obtenga OTP a través de MITM enviará una solicitud para autenticar y el servidor no podrá verificar porque la clave de verificación se eliminó del servidor.