Supongo que esto se está haciendo además del manejo normal de la sesión como una forma de recrear la sesión más tarde.
Hay algunas cosas que se pueden hacer para mejorar la seguridad.
- Use SSL, hace que la interceptación de cookies sea mucho más difícil.
- Regenera el hash de la cookie después de cada uso. Solo debe ser válido para un inicio de sesión.
- Si almacena esto como 1 cookie para 1 usuario, no funcionará si el usuario está en varios dispositivos (la cookie del primer dispositivo se anula con la cookie del segundo dispositivo).
- El hash debe ser aleatorio, no debe incorporar ningún dato de usuario en la generación.
- Los datos de usuario (correo electrónico, contraseña en particular) deben requerir una contraseña para cambiar. Si se intercepta la cookie, el interceptor no podrá cambiar los datos de la cuenta.
