Snake800

Для пенсии может быть и нормально. Но, насколько понимаю, по австралийским меркам это немного. Жизнь в Австралии вроде не дешёвая.

Скорее всего, да. Это же http протокол и "обычные пароли". Тут единственный вариант хранить и сверять дополнительные отпечатки: юзерагент, ip и другие общедостуные сведения. Хотя и это не панацея.

Мелкомягкие и их последователи делают именно так (.net Identity). В куке под RSA256 вся информация о юзере: логин, права и т.п. Выглядит немного пугающе, но на самом деле довольно надёжно: без приватного ключа не подделать. Плюс expiration tokens. Есть вариация с session id под тем же rsa. Она, как мне видится, чуть более безопасна и меньше в обёме, но малость напрягает сервер.

У группы Каста, когда-то в прошлой жизни, на этот счёт были такие строки:

/"На порядок выше", 2002г./

Хоть на сайт папы римского. При завершении факта нарушения АП нотариусом этот аспект не учитывается.

В данном конкретном случае это разновидность рефспама от одного очень странного чела через прямые отправки запросов на url'ы метрики. Дыра давняя. Другой вопрос, крутят ли через неё ПФ и насколько эффективно?

Там ещё за август может что-нибудь упадёт.

Браузеры юзеров идут за нстройками сайта.

CMS на файловом уровне может оказаться, например, захардокоженной dll-кой, включая шаблоны. Тогда без исходников поправить может стать довольно проблематично. Возможно, что у ТСа похожая ситуация. В противном случае - либо нужна техническая конкрретика, либо к программисту.