Witam. Mam pytanie odnośnie opcji remember me przy logowaniu. Z dokumentacji jest wiadome, że można ustawić poprzez cookies ciąg, który będzie identyfikowany z użytkownikiem. Może to być login łączony z kodowanym hasłem albo jakiś randomkey. Ale teraz mam pytanie odnośnie bezpieczeństwa. Wiadomym jest, że taki np. hasło albo randomkey jest zapisany w cookies pod określoną nazwą. Co teraz się stanie jeżeli taki delikwent nakłoni usera do wejścia na określoną stronę gdzie będzie skrypt, który pobierze cookiego pod określoną nazwą. Taki człowiek może wtedy wejść na dany serwis używając ciasteczek sesji lub remember me. Czy jest jakiś sposób aby tego uniknąć? Może głupie pytanie...

Cookies z reguły są przypisywane do domeny (powinny przynajmniej). Zatem odczyt ciasteczek przez stronę z innej domeny nie powinien wchodzić w grę. Zawsze jest te prawdopodobieństwo, że ktoś wykradnie pliki cookies z dysku użytkownika. Jednak jeśli obwarujesz metodę dodatkowymi zabezpieczeniami ryzyko maleje. Możesz np zapisać adres IP, przeglądarkę, z której nastąpiło "zapamiętanie hasła", następnie przy próbie wykorzystania mechanizmu sprawdzać te zapisane dane z aktualnymi.