achei interessante, bem massa Mas como sempre o user tem que fazer a besteira de clicar em arquivos de origem duvidosa kkkkk
Mas também é um problema das plataformas permitir que aconteça acesso por roubo de cookies, pq tem como indentificar a maquina q está conectando o server, e na real eles sabem, mas não sei pq ainda permite acesso por roubo de session, daria pra contornar isso exigindo a digitação de um token de quatro digito pra quando identificasse session diferente da habitual, ou criar um hash da maquina, e caso seja diferente exigir o token, caso não digite, desloga o user
isso é uma boa ideia, mas e se o usuario tiver usando vpn ? e se ele tiver viajando? pra toda vez q ele trocar de wifi ele vai ter q logar novamente na sua conta? A aideia dos cookie é basicamente o oposto disso, mudar isso faria com q o objetivo do cookie fosse inválido, alem de q exepirar os cookie em um curto periodo tambem resulta na invalidade do objetivo principal do mesmo, quanto a parte de "definir uma maquina padrão", essa informação em requisições http vem aparti do cabeçario mas especificamente o userAgente, e um atacante pode facilmente manipular essa informação tambem, sendo assim, a plataforma tem q tomar a decisão de pedir pra vc fazer o login constantimente ou usar os cookies, a primeira opção geralmente é usada por plataformas que guardam informações bastante sensiveis, como bancos,sistemas de governo e etc... a binace é um bom exemplo, ela tem uma opção de 2auth q vc usa um pendrive com algumas credencias alem da credencias de login