Безопасность аутентификации на основе токенов

Насколько я понимаю, аутентификация на основе токенов заключается в том, что при аутентификации (возможно, через ssl) токен передается пользователю для дешевой проверки пользователя на лету. Одна из реализаций этого - создание файла cookie, который передается в пользователь для управления сеансом.

Но, Насколько я понимаю, аутентификация на основе токенов (по крайней мере, через файлы cookie) восприимчива к атакам человека в середине, например firesheep.

Существуют ли другие методы реализации, которые позволяют избежать этой серьезной проблемы безопасности, или у меня есть фундаментальное недопонимание tba?