>>228は口悪いし正直嫌いなんだけど内容はごく当然のことだろう・・・・・

Googleにせよ何にせよ, セッションハイジャックされたところでアカウントそのものを乗っ取るにはパスワードか登録メールアドレスが必要だろう?
要するにアカウントの重要な情報を扱う際にはパスワードなりワンタイムキーなり要求される
セッションハイジャック=アカウント乗っ取り, つまりセッションキーがパスワードと等しいようなシステムは設計上の欠陥なんだよ