La scarsa sicurezza data dal semplice controllo del user-agent deriva dal fatto che e' relativamente facile indovinare quello valido, visto che ce ne sono un numero limitato: prova e riprova prima o poi lo becchi. Per questo l'idea e' creare un codice che garantisca che l'utente sia quello legittimo con buona sicurezza (si parla sempre di compromessi, perche' il livello di sicurezza e' inversamente proporzionale alla comodita' di navigazione per l'utente). Per questo l'autore dell'articolo suggerisce di creare un hash basandosi sulla stringa del user-agent e su una segreta -- questa aggiunta e' necessaria, perche' se e' facile indovinare l'user-agent giusto e' altrettanto facile fornirne un hash. Inoltre suggerisce di passare questa stringa tramite URL perche' se si assume che il session id sia stato ottenuto "rubando" i cookie, allora metterlo nei cookie sarebbe inutile.