Если злоумышленник получит доступ к чужим кукам (cookie), то он сможет подделать авторизацию и получить доступ к чужому аккаунту, если система не принимает подходящие меры для защиты от таких атак.
Однако, для успешного входа в систему только с помощью скопированных cookie, злоумышленнику также понадобится имитировать другие аспекты сеанса пользователя, например, IP-адрес, user agent, и другие HTTP заголовки. Если система проверяет соответствие этих данных, тогда подмена только cookie может быть затруднительной.
Множество веб-сервисов и приложений включают механизмы безопасности, чтобы предотвратить атаки, связанные с подделкой сеансов пользователя. Некоторые средства защиты включают проверку IP-адреса, использование сессионных токенов (например, JWT), активного отслеживания сеанса и многое другое.
Тем не менее, при отсутствии должных механизмов защиты, злоумышленнику может удастся подделать авторизацию и получить доступ к аккаунту, используя скопированные cookie и другие подделанные HTTP заголовки.