Поскольку куки могут быть легко украдены с помощью XSS, не имеет значения, поместите ли вы информацию только в один или два файла cookie, потому что кража возьмет их все.
Я решил более сложной процедурой: Я помещаю один зашифрованный куки-файл, разделенный на 2 части (но 2 куки-файла также будут работать), один фиксированный, а другой - переменный в каждой сессии.Оба сохраняются также для проверки на стороне сервера: они являются только идентификаторами сеанса, в cookie не содержится никакой разумной информации, на сервере сохраняется соответствие с идентификатором пользователя.
Если поддельный пользователь входит в учетную запись сукраденный файл cookie, переменная часть (или файл cookie) изменится, поэтому, когда реальный пользователь подключится снова, он не сможет войти, и у вас будет доказательство того, что произошел несанкционированный доступ: тогда вы можете удалить постоянный сеанс на стороне сервера (определяется фиксированной частью или cookie), чтобы избежать дальнейшего кражи.Реальный пользователь повторно войдет в систему и создаст новый постоянный сеанс с новым файлом cookie.Вы также можете предупредить его о том, что видели уязвимость в системе безопасности, предлагая ему сбросить пароль (операция, которая никогда не должна быть доступна непосредственно из cookie) или использовать другой браузер для небезопасной навигации.
Если вы сохраняете дополнительную информацию пользователя (user-agent, IP по местоположению) вы также можете проверить действительность cookie на них, чтобы избежать даже первого входа фальшивого пользователя.