Куки у вконтакте
1) вся авторизация идет на login.vk.com, где создается мастер-кука.
2) когда вы заходите на vk.com идет редирект на login.vk.com, где проверяется мастер-куки, и делается редирект на страницу, на которой ставится куки-токен
Мастер-кука имеет срок жизни 1 год и не зависит от IP. Куки-токен при смене IP или чего-либо еще сбрасывается. То есть кража куки-токена через XSS ничего не даст, при этом доступа к мастер-куки нет. Единственное, что может быть — xss на login.vk.com, но там его быть не может, потому что это по сути 1 страница, которая принимает данные и тут же редиректит куда нужно. А вот на основном сайте вк есть куча форм и пользовательского контента, где в теории может проскочить xss. Впрочем, основные куки у вк имеют флаг HttpOnly, соответственно доступа к куке из js не будет.
Такой способ хранения мастер-куки в одном месте имеет смысл для привязки других сервисов к аккаунту вк в фоновом режиме. Речь идет не только об основном домене vk.com, но и например dzen.ru или vkvideo.ru, которые принадлежат вк.
