Здравствуйте, netch80, Вы писали:

N>PSK этот это запомненный из прошлого состояния соответствующей сессии, если я правильно понял. Но по идее должно этого хватить...

Вот мне тоже было как-то непонятно, как можно обеспечить полноценную секурность без предшевствующего контекста и без возможности обменяться случайными числами.

Интересно, а разработчики веб-приложений вообще в курсе, что первая порция данных от клиента уходит с пониженными гарантиями?

Какой-нибудь GET /pictures/icon.jpg так можно делать, а выдавать команду на перевод денежек я бы не стал