첫 http request한 client-side 서버가 암호화된 세션을 가지게된다고 되어있는데 제 생각에는 처음 가입할때 POST/PUT request를 하니까 무조건 실제유저가 세션을 가질 것 같아요. 그럼에도 불구하고 공격자가 중간에 개입해서 세션을 대신 받을 수도 있나요? 그리고 암호화된 세션이 서버 내 변경 이외에 바뀌는 경우도 존재하나요?

미리 감사합니다.