Исходная реализация входа в систему «запомнить меня»: http://fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/
Дополнение: http://jaspan.com/improved_persistent_login_cookie_best_practice.
Оригинальная реализация Миллером постоянной функции входа в систему «Запомнить меня» достаточно проста для меня, чтобы понять - никаких проблем.
Что меня озадачивает, так это то, как помогает добавление дополнительного «идентификатора серии» в улучшенной версии, поскольку, если файл cookie «запомнить меня» украден, злоумышленник просто представляет этот файл cookie сайту и может использовать его до тех пор, пока первоначальный пользователь пытается использовать свой собственный файл cookie, и в этот момент, поскольку учетные данные не совпадают, данные удаляются из базы данных, а пользователь и злоумышленник «выходят из системы».
Однако до тех пор, пока этот первоначальный пользователь не попытается использовать свой файл cookie, не может ли злоумышленник просто использовать украденные учетные данные?