Je suppose que cela est fait en plus de la gestion normale de la session afin de recréer la session plus tard.
Il y a quelques choses qui peuvent être faites pour améliorer la sécurité.
- Utilisez SSL, cela rend l'interception des cookies beaucoup plus difficile.
- Régénérez le hachage du cookie après chaque utilisation. Il ne doit être valide que pour une seule connexion.
- Si vous stockez ceci comme 1 cookie pour 1 utilisateur, cela ne fonctionnera pas si l'utilisateur est sur plusieurs appareils (le cookie du premier appareil est remplacé par le cookie sur le deuxième appareil).
- Le hachage doit être aléatoire et ne doit intégrer aucune donnée utilisateur lors de la génération.
- Les données de l'utilisateur (e-mail, mot de passe notamment) doivent nécessiter un mot de passe pour être modifiées. Si le cookie est intercepté, l'intercepteur ne pourra pas modifier les données du compte.
