Originariamente inviato da homerbit
sul cookie potresti salvare il codice identficativo di un utente (magari anche tokenizzato)
Se il sito ha falle per attacchi XSS risolvi poco e la loro prevenzione è la cosa fondamentale in questo campo.

Nel tuo caso tale token deve avere i seguenti requisiti:
- random
- cambi ad ogni login
- abbia una durata più o meno limitata fissata su database (non quella di scadenza del cookie)

La mia opinione è che l'impiego dei cookie in un sistema di login non sono mai il massimo in termini di sicurezza.

Ringrazio con DUE ANNI DI RITARDO l'utente k.b (ora moderatore ma a quei tempi semplice utente) per questa per le risposte fornitemi in questa discussione da me aperta:
http://forum.html.it/forum/showthrea...readid=1420672