Segurança da autenticação baseada em token

Meu entendimento da autenticação baseada em token é que, após a autenticação (talvez através de SSL), um token é passado ao usuário para verificação barata do usuário em tempo real. Uma implementação disso seria gerar um cookie que é passado ao usuário para gerenciamento de sessões.

Mas, meu entendimento é que a autenticação baseada em token (pelo menos através de cookies) é suscetível a ataques do tipo homem do meio, como o firesheep.

Existem outros métodos de implementação que contornam esse importante problema de segurança ou eu tenho um mal-entendido fundamental sobre o tba?

questionAnswers(1)

yourAnswerToTheQuestion