Ciao a tutti ragazzi, una domanda stupida quanto importante, dal punto di vista dalla sicurezza.

Lo scopo finale è sempre quello: mantenere una sessione attiva, anche se l'utente chiude il browser. Il che significa, che l'utente deve sempre essere collegato, ad ogni visita, senza dover passare per il form del login.

Ora, per fare questo ho sempre usato i cookie, ma non mi convincono più completamente.

Nel cookie, memorizzavo una chiave criptata casuale, che si rigenerava ad ogni accesso, o per esempio al cambio dei dati essenziali dell'utente (es. se l'utente cambiava password, otteneva automaticamente una nuova chiave)

Ora, per quanto sia difficile generare una chiave identica a quella utilizzata da un altro utente, mi rendo conto che i cookie si possono facilmente rubare, e così facendo un malintenzionato potrebbe accedere con l'account di un altro utente semplicemente copiando il cookie della sua chiave segreta.

La mia domanda è: come si può rimediare a questo?

Pensavo ad una chiave segreta temporizzata, che si rigenera automaticamente ogni tot tempo. C'è da dire però, che il cookie si dovrebbe aggiornare allo stesso tempo, quindi se l'utente visita un sito che gli ruba la chiave segreta, il malintenzionato può comunque accedere entro tot tempo al profilo della vittima ed eventualmente generare una nuova chiave cambiando i dati dell'utente.

Inoltre, molti siti, anche se si copiano i cookie su un secondo browser, non riconoscono la sessione dell'utente.

Mi interessa molto questo argomento, quindi se qualcuno ha qualche idea mi farebbe piacere parlarne

Thinker