Używam protokołu SSL do przesyłania wszystkich danych. HTTP jest całkowicie wyłączony. Oprócz złośliwego oprogramowania lub dostępu do czyjegoś fizycznego komputera (z których oba są bardzo trudne do uniknięcia po stronie serwera), nie widzę, w jaki sposób osoba atakująca mogłaby ukraść plik cookie logowania.Kradzież plików cookie "zapamiętaj mnie" jako ważnego zagrożenia?
Czy można w takim razie nie martwić się o kradzież pliku cookie służącego do logowania?
Złożoność w zakresie prawidłowego wdrożenia nieulegającego kradzieży pliku cookie służącego do logowania, który nadal pozwala użytkownikom na sesje w różnych przeglądarkach i na różnych komputerach, jest wyższy niż materiał, który jest bezpieczny.
Dlatego uważam, że nie można bezpiecznie strzec się przed kopiowaniem i wklejać plików cookie z urządzenia na maszynę.
Czy to jest ważny interes, czy też nie pamiętam tutaj czegoś krytycznego.
Ludzie OWASP mają kilka porad dotyczących plików cookie [tutaj] (https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#Cookies) – pd40
Och, miałem zamiar połączyć z OWASP - dobre połączenie, @ pd40. –