我正在为我的公司开发一款基于odoo8的产品。我想知道如何防止应用程序被劫持。我采取的步骤很少：

1. 成功登录和注销后更改会话Id。

2. 也使用ssl来加密客户端和服务器之间的数据。

但是，我公司的安全团队并没有签署我的产品，因为他们说我们可以复制登录的cookie，然后通过它进入其他浏览器，并且可以很容易地访问帐户，但据我说，如果机器受到物理破坏，这是可能的。我不知道我现在该怎么办。

这方面的任何帮助都是值得赞赏的。