Czy taki system sesji jest bezpieczny? Opcje

[Rochu]

Witam, mam pyt odnośnie bezpieczeństwa mojego systemu sesji. Juz tlumacze na czym on polega. Uzytkownik loguje sie poprzez strone glowna w domena.pl - nast gdy dane sa poprawne do bazy serwera s1.domena.pl zostaje wpisany rekord w tabele session (ip usera, jego id uzytkownika w serwisie, dane przegladarki -> $_SERVER['HTTP_USER_AGENT'] - czas sesji). Nastepnie user zostaje przeniesiony na strone glowna s1.domena.pl, po czym plik index.php odpowiadajacy za cala strone pobiera rekord z tej tabeli session gdzie jest takie samo ip, taka sama przegladarka oraz gdzie czas jest > czasu aktualnego (wczesniej czas sesji zostal zapisany time() + 900 czyli na 15 min). Jezeli wszystko sie zgadza system pobiera dane o userze z tabeli users ( z pomoca id usera z tabeli session) i za kazdym odswiezeniem strony aktualizuje rekord sesji w session ustawiajac ponownie sesje wazna na 15 min (przez co mozna sprawdzic kiedy jest aktywny). I to chyba na tyle, prosilbym o jakies odpowiedzi czy jest to bezpieczne, a jesli nie jest to jakies male wytlumaczenie (IMG:style_emoticons/default/tongue.gif) z gory dzieki

[CuteOne]

Hmmm jak by Ci to wytłumaczyć.. załóżmy, że logujesz się na jakiś serwis, który nie używa ciasteczek(serwer tworzy ID aktualnej sesji). Wchodzisz na podstronę np. Edytuj konto i podczas tego przejścia ID sesji z twojej przeglądarki zostaje przesłane z powrotem na serwer i tam porównane. W ten właśnie sposób serwer rozpoznaje kto jest kto. Teraz wyobraź sobie, że znalazłem folder z zapisanymi aktualnymi sesjami, więc podpinam się pod jedną z nich i spokojnie edytuję sobie np. Twoje hasło do konta (IMG:style_emoticons/default/smile.gif)

I SSL nie ma tu co robić ponieważ nie przechwytuję request'a tylko biorę gotowca z serwera ;]