Dimentica la crittografia. Stai monitorando gli accessi degli utenti tramite i cookie e i cookie contengono solo nomi utente. Quanto è difficile per qualcuno prevedere i nomi utente di qualcun altro. Se non si criptano le informazioni sulla sessione, c'è sempre la minaccia che qualcuno possa annusare il cookie e dirottare la sessione. Ma nel tuo caso penso che un utente non solo possa dirottare una singola sessione, può dirottare ogni sessione di accesso semplicemente cambiando il nome utente nel cookie. OWASP consiglia un ID di sessione di lunghezza 128 bit generato tramite un Pseudo Random Number Generator (PRNG) crittograficamente sicuro. Dai un'occhiata a gestione delle sessioni OWASP per ulteriori dettagli.
Una volta configurata la gestione della sessione in base alle linee guida per la gestione delle sessioni OWASP all'interno del codice dell'applicazione Web, creare un tunnel crittografato e comunicare attraverso il tunnel crittografato. Molte persone usano SSL per la parte di login ma non appena l'utente viene autenticato, la comunicazione ritorna su HTTP. Assicurati che il cookie sia sempre comunicato anche attraverso il tunnel criptato. Se il cookie di sessione è in chiaro, un utente che annusa il cookie sulla rete può riprodurre il cookie e accedere all'account utente. Firesheep è uno strumento che dimostra lo sfruttamento di questa vulnerabilità con un solo clic.