这几天研究单点登录，琢磨了一下Cookie的事，想了些异常场景，结果验证成功了
浏览器的Cookie是可以考贝到另外一台机器上继续使用的。
是我的电脑上，图方便，一些网站的登录设成了自动，当然这些自动登录的信息全在Cookie中保存了。我把cookie文件复制到另一台电脑里继续用，这些网站“理所当然”的继续自动登录。。。。包括cndev. google douban啥的

虽然cookie中的信息是加密的，但如果别人使用我的机器把cookie复制走，就相当于偷走了我一些网站“自动登录”的能力，继而可以冒充我，网站设计不好的话还能改我的密码。。。。如果是邮箱之类的，说不定能看到更多的私人信息。。。

虽然平时很注意不在其它的电脑上做自动登录这样的事，但谁也保证不了自己的电脑偶尔被别人使用一下，或是没有锁定时离开一下，

以前觉得浏览器应该对cookie进行主机或应用程序绑定，比如用MAC地址或是系统中生成的随机ID之类的，或是应用应该对当前cookie是否是上一次它亲自留下来的做一个验证。看来哪方面都没有考虑。

另外想了一下偷别人cookie的快速方法，到别人的电脑里到处翻目录去复制总是不好意思的，时间也长，易被发现，但因为cookie放的地方一般都是固定的，所以写一个批处理进行还是很方便的，写到U盘上的Autorun里就更方便了，要是对方没有禁Autorun，插一下U盘就到手了。。。。。。。