En primer lugar, no se trata de PHP. Se trata de todas las aplicaciones web.
Ahora la otra parte, las cookies. Cualquier cosa que esté disponible en el cliente nunca es segura. Si el cliente sabe cómo acceder a ellos, probablemente pueda explotar eso.
Ahora, lo que creo que posiblemente está tratando de preguntar es si podemos estar seguros de que una sesión de usuario es segura cuando utilizamos cookies. La respuesta es que nunca podemos estar 100% seguros. Pero, Qué más podemos hacer. Solo hay dos opciones para mantener el estado en HTTP. Cookies o cadenas de consulta. Ambos son accesibles para los usuarios, pero las cookies aún no están tan abiertas. Los usamos para intercambiar ID de sesión en varias llamadas HTTP, de modo que podamos relacionar llamadas HTTP independientes. Un usuario no intencionado, si tiene la educación suficiente, puede copiar estos ID de sesión a otros navegadores u otros sistemas o puede ser bots, e intentar acceder a la misma sesión que está utilizando nuestro usuario genuino.
- ¿Qué es lo más importante que deben hacer los gobiernos estatales para aumentar la seguridad cibernética?
- ¿Qué quieres decir con virus informático?
- ¿Cuál es el mejor software de seguridad total para una PC?
- ¿Cuáles son algunos consejos de seguridad para Wannacry Ransomware?
- ¿En qué lenguajes y habilidades de programación debe ser competente un trabajador de ciberseguridad?
Sin embargo, hay formas de reducir las posibilidades, enumeraré algunas de ellas que conozco:
1) Desinfectar la entrada del usuario. Si está mostrando contenido ingresado por sus usuarios en cualquier forma, desinfecte, es decir, elimine o escape de partes sospechosas, por ejemplo, etiquetas de script.
2) Use ID de sesión + uno o más atributos del sistema y navegador del usuario, por ejemplo, IP, sistema operativo, navegador, etc. Y si alguno de ellos difiere, invalide la sesión. No será 100% seguro, pueden ser manipulados, pero aun así, reducirá las posibilidades.
3) Siga actualizando los ID de sesión del usuario en períodos cortos, probablemente utilizando llamadas ajax.
4) Vuelva a autenticar a los usuarios antes de realizar cambios significativos o mostrar datos significativos, por ejemplo, antes de cambiar la contraseña y realizar transacciones financieras.
Puede haber mejores soluciones, pero como dije, nunca estás 100% seguro y puedes reducir las posibilidades.
