Ich verwende SSL, um alle Daten zu übertragen. HTTP ist vollständig deaktiviert. Kurz vor Malware oder dem Zugriff auf eine physische Maschine (die auf der Serverseite sehr schwer zu verhindern sind), sehe ich nicht, wie ein Angreifer einen Login-Cookie stehlen könnte.Stehlen "erinnere mich an mich" Cookies eine gültige Bedrohung?
Ist es also in Ordnung, sich keine Gedanken über den Diebstahl eines Login-Cookies zu machen?
Die Komplexität der Implementierung eines nicht-stehlbaren Anmelde-Cookies, das Benutzern weiterhin Sitzungen in verschiedenen Browsern und auf verschiedenen Computern ermöglicht, ist höher als das zu schützende Material.
Daher glaube ich, dass es in Ordnung ist, nicht davor zu schützen, Cookie-Daten von Maschine zu Maschine kopieren und einfügen.
Ist das ein gültiger Kompromiss, oder vergesse ich hier etwas Kritisches?
Die OWASP Leute haben einige Sitzung Cookie-Beratung [hier] (https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#Cookies) – pd40
Oh, ich wollte mit OWASP - guten Ruf, @ pd40. –