Tôi nghĩ rằng bạn đang đánh giá cao vấn đề. Khả năng sao chép cookie chỉ là vấn đề cố hữu của cookie - bất kỳ ai cũng có thể chặn bất kỳ cookie nào và mạo danh bất kỳ dữ liệu nào trong đó bằng cách thiết lập trên một máy khác.
"Bảo mật" của cookie xác thực xuất phát từ thực tế là không ai có thể (được cho là) tạo cookie theo cách thủ công để giả mạo người dùng được xác thực. Tuy nhiên, một khi cookie được tạo ra, tất nhiên nó có thể được sử dụng để xác thực. Điều này có nghĩa là để "sự cố" của bạn xảy ra, trước tiên bạn vẫn cần có nhật ký người dùng hợp lệ. Nếu người dùng đó lạm dụng hệ thống bằng cách sao chép cookie của mình sang các máy khác để cung cấp cho mọi người quyền truy cập, điều đó hoàn toàn giống với người dùng chỉ cho mọi người biết tên người dùng và mật khẩu của cô ấy, ngoại trừ việc sử dụng nhiều hơn. Do đó, vấn đề không phải là việc sao chép cookie - chính là bản thân người dùng.
Một vector tấn công khác sẽ là nếu mạng bị xâm nhập và ai đó có thể chặn lưu lượng truy cập để ghép lại cookie thông qua trình thám thính hoặc bất kỳ thứ gì - nhưng lại một lần nữa, điều này vốn có với chính cookie. Điều này được gọi là Session Hijacking và cách duy nhất để bảo vệ chống lại điều này là sử dụng SSL cho trang web của bạn.
Nếu bạn đang thực sự lo lắng về nó, tôi chỉ cần thiết lập xác thực của bạn và thời gian chờ phiên là như nhau, và sau đó trong tập tin global.asax của bạn, chỉ cần gọi FormsAuthentication.Signout() bất cứ khi nào phiên của người dùng hết hạn. Việc này sẽ vô hiệu hóa xác thực bất cứ khi nào người dùng thực hiện phiên của họ, buộc họ phải đăng nhập lại sau. Tất nhiên, điều này có thể gây phiền toái cho người dùng của bạn ...
Tôi cũng rất muốn giới thiệu This MSDN article. Nó có thể trả lời câu hỏi của bạn tốt hơn rất nhiều so với tôi có thể.
Đây có phải là điều bạn đã thực sự cố gắng không? Bạn đã thực sự có một máy tính đăng nhập bằng cách sử dụng một cookie từ một máy khác? Tôi nghĩ rằng đã có một số mã hóa mỗi phiên. –
Một đồng nghiệp đã thử nó. Tôi không biết liệu bất kỳ mã hóa nào đã được định cấu hình chưa. – tjrobinson