Все, что вы получаете по http можно подделать...

Sumo 25.12.2011 15:32

... поэтому, даже если бы и был универсальный способ получить в браузере серийный номер и тип процессора, то проверить достоверность этих данных на сервере не представляется возможным.

Единственное на что не может повлиять клиент — это на IP-адрес клиента, который вы получаете от веб-сервера. Его можно использовать при хешировании куки и проверять при каждом коннекте. Понятно, что этот способ не очень хорошо работает, если клиенты сидят за динамическими IP — при смене адреса клиент будет разлогинен.

Стоит подумать какими путями возможно воровство куки. Если злоумышленник получил доступ к компьютеру пользователя (прямым взломом или через троян), то тут ничего не поможет. А если речь о перехвате трафика, то канал передачи легко защитить с помощью HTTPS-протокола. Только для этого понадобится хостинг, который позволяет выделить отдельный IP для каждого сайта и установить ssl-сертификат в веб-сервере (сертификат тоже лучше приобрести, а не использовать самоподписанный).

p.s. Или вообще не особо заморачиваться — данный форум спокойно живет поверх http и куки тут ни у кого не воруют. :)

---