Je pense que vous êtes en train de trop penser au problème. La capacité de copier un cookie est simplement un problème inhérent aux cookies - tout le monde peut intercepter n'importe quel cookie et usurper l'identité des données présentes en les installant sur une autre machine. La "sécurité" du cookie d'authentification vient du fait que personne ne peut (soi-disant) fabriquer le cookie à la main pour simuler un utilisateur authentifié. Cependant, une fois le cookie créé, il peut bien sûr être utilisé pour l'authentification. Cela signifie que pour que votre "problème" se produise, vous devez d'abord avoir un utilisateur valide. Si cet utilisateur abuse du système en copiant son cookie sur d'autres machines pour donner accès à tout le monde, c'est exactement la même chose que l'utilisateur qui dit à tout le monde son nom d'utilisateur et son mot de passe, sauf beaucoup plus obtus. Par conséquent, le problème n'est pas la copie du cookie - c'est l'utilisateur lui-même.
Un autre vecteur d'attaque serait si le réseau est compromis et que quelqu'un peut intercepter le trafic pour assembler le cookie via un sniffer ou autre - mais encore une fois, cela est inhérent aux cookies eux-mêmes. C'est ce qu'on appelle le piratage de session, et la seule façon de se protéger contre cela est d'utiliser SSL pour votre site. Si vous êtes vraiment inquiet à ce sujet, je voudrais juste définir votre authentification et vos délais d'attente de session pour être le même, puis dans votre fichier global.asax, il suffit d'appeler FormsAuthentication.Signout() à chaque fois que la session de l'utilisateur expire. Cela invalide l'authentification chaque fois que l'utilisateur a terminé sa session, ce qui l'oblige à se reconnecter plus tard. Bien sûr, cela peut être un désagrément extrême pour vos utilisateurs ...
Je recommande également vivement This MSDN article. Il répond probablement à vos questions beaucoup mieux que je peux.
Est-ce quelque chose que vous avez réellement essayé? Vous avez effectivement eu une autre connexion de machine en utilisant un cookie d'une autre machine? Je pensais qu'il y avait un cryptage par session. –
Un collègue l'a essayé. Je ne sais pas si un chiffrement a été configuré. – tjrobinson