Содержимое подписанного файла cookie с его именем может быть проверено, но не изменено. Существуют ли какие-либо известные проблемы безопасности или соображения при использовании службы управления учетными записями на стороне клиента?
В рассматриваемом сеансе не будут храниться пароли, но, очевидно, какая-либо информация для идентификации пользователя, например
Если вы не используете тайм-аут вашей подписи, злоумышленник может просто поменять файл cookie у другого пользователя (или администратора). Идентификаторы сеансов более непрозрачны, что означает, что злоумышленнику нужно будет попробовать каждый по очереди, но подписанную строку можно просто проверять "на лету" (скажем, открытый прокси-сервер).