La premisa básica detrás de la función "mantenerme conectado hasta que cierre sesión" es que una cookie se almacena con algún identificador que se usa para iniciar sesión nuevamente cuando el usuario regresa al sitio. Si bien estos identificadores son generalmente bastante largos, ¿no es posible que un atacante pueda, falsificar una cookie, adivinar al azar los identificadores hasta que tenga suerte?
En un sitio con una gran cantidad de cuentas registradas, uno podría golpear eventually
Mis pensamientos sobre la protección contra esto son un token con un gran número de valores posibles, combinado con el registro en cada intento, una dirección IP intenta iniciar sesión automáticamente con una cookie; cualquier intento con un token no válido se consideraría un ataque y esa dirección IP se bloqueará.
¿Esto es una exageración? ¿Me estoy preocupando por nada?