nokimaro, ладно, злой украл только куки не юзая митм, хочу абстрагироваться от всех косвенностей. Допустим ему куки отправила тупая девушка друга, которая смогла увести куки. Как защититься всеравно?
Отбросим всякие браузерные локалстореджы и тд, используется для авторизации пользователя только http протокол и атакуемая область только http. Допустим человек по середине перехватил запрос с куками, сохранил себе, как защититься от такого не используя мета инфу о пользователе (user agent, ip и тд)?