Tôi cho rằng điều này đang được thực hiện ngoài việc xử lý phiên thông thường như một cách để tạo lại phiên sau này.
Có một số điều có thể được thực hiện để cải thiện bảo mật.
- Sử dụng SSL, khiến việc đánh chặn cookie trở nên khó khăn hơn nhiều.
- Tạo lại băm cookie sau mỗi lần sử dụng. Nó chỉ hợp lệ cho một lần đăng nhập.
- Nếu bạn lưu trữ cookie này dưới dạng 1 cookie cho 1 người dùng, nó sẽ không hoạt động nếu người dùng sử dụng nhiều thiết bị (Cookie từ thiết bị đầu tiên bị cookie trên thiết bị thứ hai ghi đè).
- Hàm băm cần phải ngẫu nhiên, không nên kết hợp bất kỳ dữ liệu người dùng nào trong quá trình tạo.
- Dữ liệu người dùng (cụ thể là email, mật khẩu) phải có mật khẩu để thay đổi. Nếu cookie bị chặn, thiết bị chặn sẽ không thể thay đổi dữ liệu trên tài khoản.
