Ich nehme an, dass dies zusätzlich zur normalen Sitzungsbehandlung geschieht, um die Sitzung später neu zu erstellen.
Es gibt einige Dinge, die getan werden können, um die Sicherheit zu verbessern.
- SSL verwenden, macht das Abfangen von Cookies viel schwieriger.
- Erneuern Sie den Cookie-Hash nach jeder Verwendung. Es sollte nur für eine Anmeldung gültig sein.
- Wenn Sie dies als 1 Cookie für 1 Benutzer speichern, funktioniert es nicht, wenn sich der Benutzer auf mehreren Geräten befindet (das Cookie des ersten Geräts wird durch das Cookie des zweiten Geräts überschrieben).
- Hash muss zufällig sein, darf keine Benutzerdaten in die Generierung einbeziehen.
- Benutzerdaten (insbesondere E-Mail, Passwort) sollten eine Passwortänderung erfordern. Wenn das Cookie abgefangen wird, kann der Abfangjäger keine Daten auf dem Konto ändern.
