Originariamente inviato da oly1982
Ma poniamo il caso che malauguratamente un utente si impossessi sei due cookies sopra citati... può autoimpostarsi i cookie al suo browser e accedere cmq al mio sito spacciandosi per l'utente vittima del furto?
Si

Originariamente inviato da oly1982 se si come prevenire il problema (sempre utilizzando i cookie)?
Del tutto non puoi, ma puoi migliorare la cosa con qualche accorgimento:
  • limita la durata dei cookie cosi' l'accesso rubato dopo un po' scade
  • non registrare nei cookie lo username in chiaro, registrane un hash (cosi' non puo' essere usato nella finestra di login)
  • non registrare mai la password, neanche se criptata, piuttosto per identificare l'utente registra nei cookie un identificatore (la versione hashata dello user magari con un salt) e un token (un codice unico generato a caso ogni volta che l'utente effettua il login): in questo modo non sveli nessuna informazione che possa essere usata per ottenere nuovamente l'accesso