Conseils sur les cookies signés au lieu des sessions

Je suis en train d'étudier l'amerrissage forcé de PHP $_SESSION (c'est à dire du côté serveur, le gestionnaire de session, pour ajouter un peu indépendant de la langue saveur) et signé à l'aide de cookies au lieu de cela, depuis que j'en ai entendu beaucoup de bien sur eux (Flickr utilise, de sorte qu'ils devraient être assez bon pour moi aussi).

Je comprends le contexte de base de la technique: Utilisation des cookies librement passer les paires clé-valeur du client vers le serveur, et de les signer pour s'assurer que les valeurs ne sont pas altérés.

Mais ce serait une bonne façon de mettre en œuvre la partie de signature? Aussi, étant donné que la circulation sera probablement HTTP, est-il un bon moyen pour envoyer des données sensibles (telles qu'un mot de passe utilisateur) avec cette méthode, tout en travaillant à l'encontre de voler les cookies et/ou de la falsification?

source d'informationauteur Henrik Paul