[PHP]Wlasny mechanizm sesji, problem z ciastkiem... Opcje

[Zgredzik]

Czesc, robie wlasny mechanizm sesji i mam problem (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Dokladnie chodzi o informacje przechowywane w ciasku, wiec zacznijmy od poczatku... Sesje obejmuja tylko uzytkownikow zalogowanych... W ciastku planowalem przechowywac ID uzytkownika z bazy oraz hash jego IP+odpowiednie dosolonie, ciastko takie ma dosc ktorki termin i nikt z tego ciastka raczej nie skorzysta z pod innego adresu IP. Problem polega na tym ze jesli wprowadze opcje "zaloguj automatycznie/zapamietaj mnie" to w erze dynamicznego adresu IP okres zycia takiego ciastka zamiast 7dni wyniesie 24h - czyli do puki nie zrestartuje sie np taki modem Neostrady - wtedy adres IP zostaje zmieniony a podczas porownywania hashy mamy FALSE (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Pytanie: w jaki sposob zapisac informacje w ciastku uwzgledniajac jego dlugi termin waznosci (do autologowania) tak aby ktos kto wykradnie ciastko Kowalskiego nie mogl z niego skorzystac...

Hm tak sobie analizowalem CMS Fusion i oni cale ciastko zrobili w sposob...
w ciastku jest hash MD5 hasla zas w bazie danych zostaje przechowywane to samo haslo podwojnie hashowane za pomoca MD5. Jaki sens?
Wiec? Osoba majaca dostep do ciastka kowalskiego moze wejsc na jego konto z innego komputera za posrednictwem tego wlasnie ciastka...?(IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif) ?

[Zgredzik]

No tak ale nadal nie ma dobrego rozwiazania aby Nowobogacki nie mogl uzywac ciastka Kowalskiego... Mysle ze w zwyklym ciastku sesyjnym dobrze jednak przechowywac IP wtedy ciastko moglo by zyc 24h. $_SERVER['HTTP_USER_AGENT']; to raczej nie jest sposob na identyfikacje, biorac pod uwage ze Polacy za zaFirefoxowani... Po za tym czy generowanie hasha tak dlugiej informacji nie bedzie obciazac servera w przypadku wielu uzytkownikow?

Wiec tu pojawia sie kolejne pytanie - czym hashowac... najbezpieczniej sha1 - jednak czy nie pokusic sie w tym przypadku o md4 ktory jest najszybszym i mniej bezpiecznym od md5 algorytmem kryptograficznym? Hasla + sol w bazie hashuje sha1... ale ta subtelna roznica znakow 40 a 32 jednak - sklania mnie do zaoszczedzenia miejsca uzywajac md5 (IMG:http://forum.php.pl/style_emoticons/default/sad.gif)