Ciao a tutti. Sto sviluppando un sito web dove si presuppone di potersi registrare e di conseguenza effettuare il login. Sono capace di realizzare un semplice login sia con i cookie che con le sessioni ma ho dei dubbi in merito. Ho implementato il "ricordami" con un cookie, ma per quanto ne so questi sono accessibili facilmente dal pc e quindi modificabili manualmente. Come posso rendere sicuro un cookie in modo che solo chi ha effettivamente effettuato un login lo abbia "validato"?

suggerimenti?

nessuno.

assunto che in un coockei non ci metti la password ma solo qualcosa per riconoscere l'utente... e al massimo agganciarci la sessione.
qualsiasi cosa richieda sicurezza (anche ebay, paypal o le banche lo fanno) ti dice di non salvare localmente (e non spuntare il ricordami) nei computer che non siano il tuo personale.

spero di esserti stato di aiuto ;)

grazie mille per la risposta :)

Si può pensare a dei compromessi... prima di tutto nel db ad ogni utente associ un codice random ogni volta che fai il login, quindi lo salvi nel cookie. In questo modo un utente non può semplicemente crearsi un cookie che dice di essere autenticato a nome di un altro utente, perché non conosce il codice segreto.
Inoltre, se qualcuno si appropria del cookie, al prossimo login con password il codice cambierà e non potrà essere riutilizzato; certo non è un sistema infallibile ma da qualche vantaggio.
Un'ulteriore protezione puoi ottenerla associando all'utente l'indirizzo ip dal quale ha fatto il login con password, in questo modo il cookie non può essere utilizzato da utenti che si collegano da un'altra rete (ma potrebbero farlo se sono nella stessa sottorete); naturalmente il cookie si invalida se l'utente cambia ip.
La sicurezza totale non esiste, devi trovare un compromesso che ti aggrada.