Die Lösung "Nicht auf 'Angemeldet bleiben' klicken" ist auch nur mittelmäßig – die Phishing-Seite die evilginx präsentiert das Häkchen für dich ja trotzdem setzen – als Mittelmann hat man da ziemlich viel Macht.
Nur wenn man auf Abmelden klickt wird der Cookie echt entwertet.
Session Hijacking ist so ein Problem das HTTP als Stateless-Protokoll schon immer hatte, und auch immer haben wird.
Mit Verschlüsselung kann man dagegen arbeiten, was den Mensch aber mehr zum Fehlerfaktor macht – Phishing, andere Sicherheitslücken, Unachtsamkeit, etc.
Wäre der Ablauf:
Opfer klickt auf Phishing-Seite, gibt Login, PW, 2FA-Code ein, liest 5 Minuten auf Twitter, und meldet sich ab.
Dann wäre es bei gezielten Angriffen, wenn der Angreifer bereit steht sowieso schon zu spät. 5 Minuten aktive Session reicht sich anzumelden, 2FA zu deaktivieren, PW zu ändern, etc.
Aber wie wir aus dem 0rbit-Fall mit Twitter mal wieder gesehen haben: Social Engineering bringt immer noch am weitesten:
"Ja ich bin [berühmte Person] – Mein Handy ist kaputt, können Sie die 2FA deaktivieren?"
"Okay, einmal ihr Geburtsdatum?"
Google: Geburtstag von [berühmte Person]
"Alles klar, ist deaktiviert."