Zabezpieczenie sesji, ze szczyptą algorytmu szyfrującego Opcje

[.radex]

Hmmm..... Wymyśliłem sobie [genialny (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) ] sposób na zabezpieczenie sesji, w razie wyciągnięcia SID... User w czasie rejestracji wybiera sobie (wpisuje) klucz prywatny.... W sessji jest ip osoby, ktora zalogowała się (zaszyfrowany), i porównyje czy pasuje. no i

1. Co sądzicie o tym pomyśle, czy ma on sens, czy jest rzeczywiście skuteczny..

2. Jaki proponujecie algorytm szyfrowania (lub skrótu), tak żeby szyfrowało wg. klucza, i żeby był szybki (duży ruch a wiele sprawdzeń to trochę roboty:P)

Z góry dzięki za podpowiedzi

[.radex]

No i dlatego mówie, że IP jest wczytywane przy logowaniu:P A hasło w sesji i tak jest sszyfrowane.

Klucz będzie na stałe, ale można go z panelu usera zmienić, a z generowaniem, to szczerze mówiąc nie wpadłem na to:P

Przeciez jak przejmie SID to i tak nie ma bezposrednio dostepu do danych sesyjnych

? Słyszałem, że sesje robią się niebezpieczne po otrzymaniu SID... Ja ich nigdzie nie wyświem.

Co do XOR:

<?php

$d = $_GET['a'] XOR $_GET['b'];

echo $d;
?>

nic nie zmiania. Wyświetla tylko $a (get)

[sobstel]

No i dlatego mówie, że IP jest wczytywane przy logowaniu:P A hasło w sesji i tak jest sszyfrowane.

moze nawet byc inne w dwoch zadaniach jeden po drugim (wina serwerow proxy, ktore moga zwracac rozne rzeczy).

-------------------------------

Przeciez jak przejmie SID to i tak nie ma bezposrednio dostepu do danych sesyjnych

? Słyszałem, że sesje robią się niebezpieczne po otrzymaniu SID... Ja ich nigdzie nie wyświem.

w sumie jest taka mozliwosc jesli ktos ma konto na tym samym serwerze wspoldzielonym a sesje sa przchowywane w domyslnym katalogu /tmp, do ktorego kazdy user ma dostep.