Presumo che ciò venga fatto in aggiunta alla normale gestione della sessione come modo per ricreare la sessione in un secondo momento.
Ci sono alcune cose che possono essere fatte per migliorare la sicurezza.
- Utilizza SSL, rende molto più difficile l'intercettazione dei cookie.
- Rigenera l'hash del cookie dopo ogni utilizzo. Dovrebbe essere valido solo per un accesso.
- Se memorizzi questo come 1 cookie per 1 utente, non funzionerà se l'utente si trova su più dispositivi (il cookie del primo dispositivo viene sovrascritto dal cookie sul secondo dispositivo).
- L'hash deve essere casuale, non dovrebbe incorporare alcun dato utente durante la generazione.
- I dati dell'utente (e-mail, password in particolare) dovrebbero richiedere una password per la modifica. Se il cookie viene intercettato, l'intercettore non sarà in grado di modificare i dati sull'account.
