Tôi đang sử dụng SSL để truyền tải tất cả dữ liệu. HTTP bị tắt hoàn toàn. Ngắn của phần mềm độc hại, hoặc truy cập someones máy vật lý (cả hai đều rất khó để ngăn chặn từ phía máy chủ), tôi không thấy làm thế nào một kẻ tấn công có thể ăn cắp một cookie đăng nhập.Ăn cắp "nhớ tôi" cookie là một mối đe dọa hợp lệ?
Vì vậy, bạn có lo lắng về việc ăn cắp cookie đăng nhập không?
Sự phức tạp để triển khai đúng cookie đăng nhập không ăn cắp, vẫn cho phép người dùng có phiên trên các trình duyệt khác nhau và các máy khác nhau cao hơn tài liệu bảo vệ an toàn.
Vì vậy, tôi tin rằng không sao để bảo vệ an toàn khỏi việc sao chép và dán dữ liệu cookie từ máy này sang máy khác.
Đây có phải là thương mại hợp lệ không, hoặc tôi quên điều gì đó quan trọng ở đây.
Những người OWASP có một số lời khuyên về cookie phiên [ở đây] (https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#Cookies) – pd40
Ồ, tôi muốn liên kết với OWASP - cuộc gọi tốt, @ pd40. –