Attól még a sessiont el tudják lopni! Igaz, az csak addig jó, amíg be vagy jelentkezve. De az OTP nem ér sokat, ha a session nincs titkosítva.