利用cookie機制回驗證使用者登入是不是有漏洞

利用cookie機制來驗證使用者登入是不是有漏洞？
問個很弱的問題！

如果A訪問某網站，網站把加密的token寫入它的cookie，以後訪問時A帶上cookie裡面的token都可以了，這樣的話，如果我把A瀏覽器中的這個token通過某種手段放到我的瀏覽器cookie裡面，忌不是就可以偽造成A的身份了？？？

是不是有漏洞，或大家指導一下，這個登入驗證正確的手段是怎樣的，請賜教，謝謝!

------解決方案--------------------
你所說的基本屬實,你看看這個
http://bbs.phpchina.com/thread-217757-1-1.html
------解決方案--------------------
那得關鍵看這個加密是怎麼個加密法了...
------解決方案--------------------
所以才有“cookie欺騙”
------解決方案--------------------
沒錯，這就是cookie欺騙，所以要小心被不良網站截獲cookie。

qq有個好友印象的功能，我曾經抓包分析過，它的身分識別驗證也是用cookie。然後找了個朋友，把他qq的cookie拷貝過來，類比請求對別人進行好友印象評價。結果就這樣成功了。這是幾年前的事了，不知道現在它是否改了驗證機制。

以前dvbbs也曝出過一個非常單純的cookie驗證漏洞。他直接把每個使用者的所有資訊，包括許可權，就放在cookie中了，而且沒加密，就那麼簡單的將使用者id、密碼、許可權等打亂順序排列了一下。然後只需要找到那個標識許可權的字元，修改為管理員層級的，任何人都是管理員了。
------解決方案--------------------
單純靠cookie是要出問題的。

