Bezpieczny system logowania Opcje

[Displace]

Witam,

Próbuję od jakiegoś czasu napisać skrypt logowania, ale tak, aby był jak najbardziej bezpieczny. Jakiekolwiek włamanie na konto użytkownika jest w moim przypadku niedopuszczalne. W internecie dużo jest "poradników" czy też "kursów" na ten temat. A pisząc poradniki, jeszcze w cudzysłowu mam na myśli to, że w 95% przypadków jest to zwykły system oparty na sesjach, bez jakichkolwiek zabezpieczeń. W większości przypadków nie jest to też to, czego szukam.

Docelowo muszę napisać system logowania z możliwością zapamiętania użytkownika na danym komputerze - jedynym słusznym rozwiązaniem jest użycie sesji i cookies.

I teraz jak to ugryźć?
1) Czy wystarczy samo session_regenerate_id(), czy coś jeszcze można by było dorzucić do kodu?
2) Czy warto stworzyć osobną tabelę w bazie danych specjalnie dla sesji? Jeśli tak, to na jakiej zasadzie by to działało i jakie pola powinny się w niej znaleźć? Dla przykładu, oto tabele z phpBB3, niestety nie wiem w jaki sposób rozwiązano tam ten problem, gdyż cały kod tegoż forum jest za długi i nie da się go jednocześnie przeczytać i zrozumieć.

[SQL] pobierz, plaintext 
CREATE TABLE `sessions` (
  `session_id` varchar(32) BINARY NOT NULL DEFAULT '',
  `session_user_id` mediumint(8) UNSIGNED NOT NULL DEFAULT '0',
  `session_forum_id` mediumint(8) UNSIGNED NOT NULL DEFAULT '0',
  `session_last_visit` int(11) UNSIGNED NOT NULL DEFAULT '0',
  `session_start` int(11) UNSIGNED NOT NULL DEFAULT '0',
  `session_time` int(11) UNSIGNED NOT NULL DEFAULT '0',
  `session_ip` varchar(40) BINARY NOT NULL DEFAULT '',
  `session_browser` varchar(150) BINARY NOT NULL DEFAULT '',
  `session_forwarded_for` varchar(255) BINARY NOT NULL DEFAULT '',
  `session_page` blob NOT NULL,
  `session_viewonline` tinyint(1) UNSIGNED NOT NULL DEFAULT '1',
  `session_autologin` tinyint(1) UNSIGNED NOT NULL DEFAULT '0',
  `session_admin` tinyint(1) UNSIGNED NOT NULL DEFAULT '0',
  PRIMARY KEY  (`session_id`),
  KEY `session_time` (`session_time`),
  KEY `session_user_id` (`session_user_id`),
  KEY `session_fid` (`session_forum_id`)
) TYPE=MyISAM;
 
CREATE TABLE `sessions_keys` (
  `key_id` varchar(32) BINARY NOT NULL DEFAULT '',
  `user_id` mediumint(8) UNSIGNED NOT NULL DEFAULT '0',
  `last_ip` varchar(40) BINARY NOT NULL DEFAULT '',
  `last_login` int(11) UNSIGNED NOT NULL DEFAULT '0',
  PRIMARY KEY  (`key_id`,`user_id`),
  KEY `last_login` (`last_login`)
) TYPE=MyISAM;
[SQL] pobierz, plaintext 

3) W jaki sposób rozwiązać problem z zapamiętaniem użytkownika, co wysyłać w ciastkach aby było w miarę bezpiecznie?


Nie przyjmuję gotowców! (choć chyba i tak nikt mi go dawać nie zamierzał (IMG:style_emoticons/default/winksmiley.jpg) ) Proszę tylko o jasne nakreślenie mi tego w jaki sposób mógłbym to napisać, aby było w miarę prosto, ale i bezpiecznie. Zaznaczam również, że lubię czytać i chętnie przyjmę posty dłuższe niż 3 zdania.

[Displace]

Ok, dzięki, już powoli sobie to w myślach wszystko nakreśliłem, prosiłbym tylko zweryfikować, czy wszystko jest poprawnie.


SESJE:
1) Tymczasowa (tylko sesje) - logowanie jedynie na czas działania przeglądarki. Po jej zamknięciu, session_id ginie bezpowrotnie.
2) Stała (sesje i cookies) - logowanie z opcją "zapamiętaj mnie". Session_id przechowywane w ciasteczku.

Opiszę tylko tą pierwszą, druga będzie podobna. Jest to lista kroków, jaką PHP realizuje na każdej ze stron dla zalogowanych.

1. Sprawdzenie czy id sesji istnieje w bazie. Jeżeli tak, kontynuuj, jeżeli nie, wyświetl panel logowania.
2. Czy IP jest zgodne z IP zapisanym w bazie danych w chwili zalogowania? Jeżeli nie, naruszono zasady bezpieczeństwa, ale kontynuuj.
3. Czy przeglądarka jest zgodna z przeglądarką zapisaną w bazie danych w chwili zalogowania? Jeżeli nie, naruszono zasady bezpieczeństwa, ale kontynuuj.
4. Czy zgadzają się dane: $_SESSION['id_konta'] i $_SESSION['prawa'] z tymi, zapisanymi w bazie danych? Jeżeli nie, naruszono zasady bezpieczeństwa, ale kontynuuj.
5. Czy naruszono w jakikolwiek sposób zasady bezpieczeństwa? Jeżeli tak to przerwij działanie, skasuj odpowiedni rekord z bazy danych, zniszcz wszystkie sesje i zmień id_sesji, a następnie wyświetl komunikat i przekieruj na stronę logowania.
6. Jeżeli wszystko jest ok, zanotuj datę i godzinę "ostatniej przeprowadzonej akcji" (załadowanie strony), a następnie wyświetl zawartość strony.

Oczywiście, sesja wpisana do bazy danych jest kasowana po 40-60 minutach bezczynności (wymaga tak długiego czasu działania moja strona, aby nic przypadkiem się w formularzu usera nie wykasowało gdy ten będzie długo pisał).

Czy dobrze to wszystko wymyśliłem? Można coś jeszcze do tego dodać?


I najtrudniejsze pytanie - sesja stała, czyli cookies. Jak zweryfikować użytkownika? Po czym? IP odpada, gdyż jeżeli user będzie miał zmienne, to opcja "zapamiętaj mnie" będzie na dłuższą metę nic nie warta. Przeglądarka? Ok. Ale to chyba za mało. Może coś jeszcze jest o czym zapomniałem?