ウェブサイトに「私を覚えている」を実装する最良の方法は何ですか？[閉まっている]

ユーザーがクリックできるチェックボックスをウェブサイトに設定して、ユーザーが私のウェブサイトにアクセスするたびにログインする必要がないようにします。これを実装するには、自分のコンピュータにCookieを保存する必要があることはわかっていますが、そのCookieには何を含める必要がありますか？

また、このCookieがセキュリティの脆弱性を示さないようにするために注意すべき一般的な間違いはありますか？

永続的ログインCookieのベストプラクティスの改善

ここで説明されているこの戦略をベストプラクティス（2006）またはここで説明されている更新された戦略（2015）として使用できます。

1. Remember Meをオンにしてユーザーが正常にログインすると、標準のセッション管理Cookieに加えて、ログインCookieが発行されます。
2. ログインCookieにはシリーズIDとトークンが含まれています。シリーズとトークンは、適切に大きなスペースからの推測不可能な乱数です。両方がデータベーステーブルに一緒に保存され、トークンがハッシュされます（sha256は問題ありません）。
3. ログインしていないユーザーがサイトにアクセスしてログインCookieを提示すると、シリーズIDがデータベースで検索されます。
   1. 場合は、一連の識別子が存在し、ハッシュのあるトークンと一致することをシリーズ識別子のハッシュ、ユーザーが考慮される認証済み。新しいトークンが生成され、トークンのための新たなハッシュは、古いレコードの上で貯蔵され、そして新しいログインクッキーは（それは再使用しても大丈夫ですユーザに発行されたシリーズの識別子）。
   2. シリーズは存在するがトークンが一致しない場合、盗難が想定されます。ユーザーは強く言葉を使った警告を受け取り、ユーザーが覚えていたセッションはすべて削除されます。
   3. ユーザー名とシリーズが存在しない場合、ログインCookieは無視されます。

このアプローチは、多層防御を提供します。誰かがなんとかしてデータベーステーブルをリークしても、攻撃者がユーザーになりすますためのドアを開けることはありません。

ユーザーIDとトークンを保存します。ユーザーがサイトに戻ってきたら、これら2つの情報を、データベースエントリのような永続的なものと比較します。

セキュリティに関しては、誰かがCookieを変更して追加の利益を得ることができるようなものをそこに置かないでください。たとえば、ユーザーグループやパスワードを保存しないでください。セキュリティを回避する変更可能なものは、Cookieに保存しないでください。

ユーザーIDとRememberMeTokenを保存します。彼らが私をチェックして覚えてログインすると、新しいRememberMeTokenが生成されます（これにより、マークされている他のすべてのマシンが無効になります）。

彼らが戻ってきたら、remember meトークンでそれらを調べ、UserIdが一致することを確認します。

永続的なセッションを自分で調査するセキュリティのリスクに値するものではないことがわかりました。どうしても必要な場合に使用しますが、そのようなセッションは弱い認証のみを考慮し、攻撃者にとって価値のある可能性のあるすべてのものに対して新しいログインを強制する必要があります。

もちろん、永続的なセッションを含むCookieが簡単に盗まれるからです。

Cookieを盗む4つの方法（彼の回答に基づいたページでのJens Rolandのコメントから@splattne）：

1. 安全でない回線を介して傍受する（パケットスニッフィング/セッションハイジャック）
2. ユーザーのブラウザに直接アクセスする（マルウェアまたはボックスへの物理的アクセスを介して）
3. サーバーデータベースから読み取る（おそらくSQLインジェクションですが、何でもかまいません）
4. XSSハック（または同様のクライアント側エクスプロイト）