Considera un caso, in cui un utente malintenzionato ha accesso fisico al computer dell'utente per 20-30 secondi.
L'utente malintenzionato può utilizzare questo tempo per rubare i cookie dell'utente (ad esempio utilizzando il plug-in EditThisCookie) e inviare i cookie a se stesso (ad esempio tramite Hangouts, Facebook, posta elettronica, ecc.).
L'account dell'utente è compromesso per sempre.
Ho provato personalmente l'esperimento, in cui dico che il cookie di XYZ "X" viene rubato dal mio sistema. Dopo di che cambio la password del mio account XYZ. Ancora l'attaccante può accedere al mio account usando il cookie "X".
Inoltre, a volte è successo con me che i cookie rubati ("X") quando inseriti nel browser non funzionano. Voglio sapere perché questo strano comportamento accade e quale tipo di stato è memorizzato nei cookie. Ho letto della data di scadenza che deve essere memorizzata nel cookie, ma in genere viene memorizzata 1 anno circa dalla data corrente (non sono sicuro di questo fatto però).
Volevo anche sapere se c'è qualche metodo nell'attuale architettura web per prevenire l'attacco di click-jacking dove i cookie sono rubati fisicamente (come descritto sopra).