[dotvoid]

Fast hittills har det bara diskuterats två olika sätt att använda cookies. Antingen direkt eller indirekt via den inbyggda sessionshanteringen.

Det är meningslöst att ha två parallella sessioner där den ena sessionen används för att skapa den andra. Det i sig tillför ingen säkerhet alls. Tvärtom.

Att kontrollera annan data i tillägg till det cookievärde som sätts direkt eller indirekt, som t ex user agent, tillför lite men inte mycket. Att kontrollera ip tillför mer men innebär också vissa nackdelar med de som sitter bakom proxykluster som ovan nämnts. T ex i USA har det sistnämnda varit ett stort problem iom främst America Online.

Så länge man använder sig av cookies för sessionshanteringen är det enda man kan göra för att öka säkerheten att i övrigt på webbsajten jobba hårt för att användarens cookie-värden inte kan läcka till tredje part. Det kräver mycket och noggrant arbete.

Räcker inte den säkerheten återstår bara att övergå till https.