Предполагам, че това се прави в допълнение към нормалната обработка на сесията като начин за пресъздаване на сесията по-късно.
Има няколко неща, които могат да се направят, за да се подобри сигурността.
- Използвайте SSL, прави прихващането на бисквитки много по-трудно.
- Регенерирайте хеша на бисквитките след всяка употреба. Трябва да е валидно само за едно влизане.
- Ако съхраните това като 1 бисквитка за 1 потребител, няма да работи, ако потребителят е на няколко устройства (бисквитката от първото устройство се заменя от бисквитката на второто устройство).
- Хешът трябва да е произволен, не трябва да включва никакви потребителски данни при генерирането.
- Потребителските данни (имейл, парола в частност) трябва да изискват парола за промяна. Ако бисквитката бъде засечена, прихващачът няма да може да промени данните в акаунта.