Zabezpieczenie sesji, ze szczyptą algorytmu szyfrującego Opcje

[.radex]

Hmmm..... Wymyśliłem sobie [genialny ] sposób na zabezpieczenie sesji, w razie wyciągnięcia SID... User w czasie rejestracji wybiera sobie (wpisuje) klucz prywatny.... W sessji jest ip osoby, ktora zalogowała się (zaszyfrowany), i porównyje czy pasuje. no i

1. Co sądzicie o tym pomyśle, czy ma on sens, czy jest rzeczywiście skuteczny..

2. Jaki proponujecie algorytm szyfrowania (lub skrótu), tak żeby szyfrowało wg. klucza, i żeby był szybki (duży ruch a wiele sprawdzeń to trochę roboty:P)

Z góry dzięki za podpowiedzi

[.radex]

Haha, u mnie nie ma tak łatwo. Sesje są w katalogu serwera i tylko user o najwyższym stopniu (inni automatycznie mają default dir jako htdocs/) ma tam dostęp. Ale czy to jest jedyna możliwość, czy atakujący ma inną możliwość dostania się do sesji ( wg. manuala PHP się troszkę przestraszyłem i dlatego wymyśliłem to zabezpieczenie).

I dzięki za zwrócenie uwagi co do IP. Zastanowię się jeszcze nad tym.

EDIT:

aha, Sopel przypomnisz mi jak się ustawiało długość żywotności sesji?

(Wiem że można użyć MySQL i zapamiętania czasu logowania, ale chyba była jakaś do tego funkcja)

Ten post edytował radex_p 8.05.2007, 18:38:43