大家好 小弟是web dev新手
目前是用GAE
我已經大致上寫出一個登入系統了
但做法是把使用者的id存在cookie裡並+SECRET、hash
但這代表只要有人拿走cookie變能登入@@
請問這要怎麼解決呢
應該是跟session有關 但我不怎麼確定怎麼實作
memcache?
況且網頁裡還有summer note的html編輯器
稍微弄一下就被XSS了
這又要如何解決？

其實無解，頂多是設個timeout，或像google那樣，距離太就強制登出 ^^^^^^^ expires 才對畢竟根本沒有辦法確認，每一次登入的都是同一個瀏覽器因為除了ip外，client來的所有訊息都是可以偽造的

很簡單 1. 驗證 user agent 跟 ip基本上你無法防堵cookie被中間人偷走或偽造但你可以設計一些驗證方法來加強防堵

所以要把ip一起hash進去就是了？ 那這樣用浮動ip電腦的人。「記住我」的功能是不是就廢了

這就是代價阿，像巴哈姆特就是session綁ip沒有十全十美的方式阿就連user-agent都能被js撈到，只要被xss，ip以外的所有防堵方式都廢了阿所以唯一的辦法就是不要被xss，開https，祈禱user不要電腦中毒http://goo.gl/sMTxj 雖然有header之類的東西，支援度還是個問題

我現在的寫法是有人在已登入的電腦開F12 看cookie 就可以在別台電腦登你給的文件我研究研究