SSLを使用してすべてのデータを送信しています。HTTP は完全に無効になっています。マルウェアや誰かの物理マシンへのアクセス (どちらもサーバー側から防ぐのは非常に困難です) を除けば、攻撃者がログイン Cookie を盗む方法はわかりません。
では、ログイン Cookie を盗む心配をしなくてよいのでしょうか。
盗むことができないログイン Cookie を適切に実装することの複雑さは、ユーザーがさまざまなブラウザーやさまざまなマシン間でセッションを持つことを可能にし、それが保護する材料よりも高くなります。
したがって、マシンからマシンへの Cookie データのコピー アンド ペーストに対して安全を確保しなくても問題ないと思います。
これは有効なトレードオフですか、それともここで重要なことを忘れていますか。