Hogy építsek fel egy olyan belépési modult, hogy a tovvábbiakban is láthassa az adatlapját, ne tünjön el?

Na akkor én most leírom részletesen...

A süti azért rossz, mert könnyedén át lehet írni a tartalmát és könnyedén ki lehet nyerni belőle a tárolt adatokat.

A session tényleg szerver oldalon tárol, a kliensnél egyetlen egy random generált session is kerül ebben az estben letárolásra, amivel azonosítja, hogy kihez tartozik az adott munkamenet.

Ezt is el lehet lopni igen, de ha mondjuk az ember a sessionben eltárolja a kliens IP címét, böngésző azonosítóval, mert ezek viszonylag ritkán szoktak változni és ellenőrzi is, hogy egyeznek-e akkor a legtöbb session lopást ki lehet küszöbölni.

Vagyis amikor beesik egy kérés egy session ID-val, akkor nem kell mást csinálni, mint a szerver oldalon már meglévő adatokat megnézni, ha egyeznek, akkor hajrá, ha nem, akkor azonnal érvényteleníteni kell a sessiont.

Ez sem garantált védelem, de az esetek nagyon-nagy részét ki tudja védeni. (Pl.: Az IP miatt valahogy be kell kerülni a kliens NAT-oló routere mögé, ha van neki, vagy közvetlenül a gépére. A böngésző azonosítót is akkor szépen le kell klónozni, bár ez talán a könnyebbik része ennek.)

Az ssl sem rossz, de ahhoz akkor már fix ip és hiteles tanúsítvány is kell, ami nem olcsó dolog.

(Egy ön aláírt cuccnak semmi értelme, ami mindig szép figyelmeztetéseket dob, ha hamis ha nem.)