Прочитав такие статьи, как http://jaspan.com/improved_persistent_login_cookie_best_practice, я задаюсь вопросом, есть ли достаточно хороший способ добиться это.
Итак, я хочу, чтобы мошеннику было довольно трудно украсть файл cookie и использовать его на своем компьютере. Об использовании безопасных файлов cookie не может быть и речи. Я думал о том, чтобы хешировать некоторую информацию о браузере пользователя в файле cookie, который будет проверен после попытки автоматического входа в систему.
Итак, проблема, с которой я сталкиваюсь прямо сейчас, заключается в том, какую информацию хэшировать. Имя браузера должно быть в порядке, но номер версии сделает недействительным автоматический вход в систему при каждом обновлении браузера. То же самое и с обнюхиванием функций. Я думал о том, чтобы хешировать имя браузера и языковой стандарт пользователя, чтобы получить разумный определенный способ противодействия краже файлов cookie.
Я на правильном пути? Есть ли де-факто способ сделать это?
Система не обязана быть на 100% неприступной, но это разумно.
PS: вам не нужно беспокоиться о других данных в файле cookie. Меня просто интересует часть "не воруй это печенье".
Редактировать 1: Недостаток в хешировании информации о клиенте, как мне ответили в другом месте, заключается в том, что злоумышленнику достаточно знать, что информация о клиенте используется, и копировать информацию о клиенте по мере кражи файла cookie. Конечно, это дополнительный шаг для злоумышленника, но не такой большой, как я себе представлял... Есть дополнительные мысли?