Quote

Aber wenn Du davon ausgehst, dass Deine laufende Session gekapert wurde, dann solltest Du in keinem Fall in einer gekaperten Session das Passwort ändern. Das neue Passwort hat der Hacker damit auch gleich.

Warum? Welchen Angriffsvektor siehst du da?
Klar, wenn der Benutzer Malware o.ä. auf seinem Gerät hat, dann ist das Passwort wieder weg, da hilft ein- und ausloggen aber auch nicht.

Rein theoretisch könnte ein Angreifer aber auch kurzzeitig Zugriff auf die Hardware gehabt haben und die Session nicht reproduzierbar gekapert haben (der Benutzer weiß grundsätzlich erstmal nicht ob er sein Passwort verloren hat oder seine Session gekapert wurde und wird im Zweifel vermutlich das Passwort ändern).

Was sprich dann dagegen das Passwort in dieser Session zu ändern und im Nachhinein die Session ungültig zu machen und neu zu vergeben?