Adminlerin http only flagleri set edip session süresini sınırlandırması lazım 2fa ile falan alakası yok işin cookiler çalınıyor.