Cita: Lo ultimo que he aprendido es sobre que las sesiones no me parecen seguras porque se puede hacer un cute&paste y meterse en la cuenta de otro...
Propaga el SID en cookies, ajusta la vida de la sesión más corta .. No uses el sistema clásico de sesiones (con el pésimo control de tiempo de vida o expiración de sesiones) .. En fin . .hay muchas soluciones a ese problema.
Cita: ¿como protegerme de lo que no conozco?
Parecerá obvia el comentario que te voy hacer .. pero es la pura realiadad: documentandose más.
En mi vida de programador en PHP he llegado como todo el mundo al tema sesiones, he ido implementandolas en mis aplicaicones conforme leía sobre el tema y he pasado también por problemas de "uso" e incluso "seguridad" cuando no las conocía en profundidad. Por eso una de mis recomendaciones anteriores iva por el lado de "no usar" el soporte nativo de sesiones de PHP para un ajuste más fino de las sesiones creadas (no tanto como que sean "inseguras" que no lo son si las usas bien) sino por funcionalidades como por ejemplo la del control del tiempo de expiración de cada sesión en forma individual (y no en forma global como lo hace PHP para toda sesión creada).
Cita: Estoy informandome sobre certificados ssl para garantizar el bloqueo de
espias y troyanos. He visto alguno que no tiene un precio abusivo, pero
tambien he leido que IE7 dictamina que no son fiables a ciertos servicios,
(como el que hay gratuito) asi que no se si saltaria con esa empresa...
Me parece que hay estás liandote y no aplicacndo lo que es SSL ni un certificado como tal. El SSL principalmente te sirve para encriptar la comunicación entre cliente y servidor. Para que esto funcione .. instalas un módulo en tu servidor HTTP (en Apache es el "mod_ssl") .. El "SSL" en sí (modulo) en un servicio de hosting no sé si tendrá costo adicional .. pero una "comunicación encriptada" en sí .. sin un "certificado" que autentifique que quien emite esos datos "encriptados" es quien dice ser y de donde dice ser no lo tuvieras .. no presta ninguna confianza a tus usuarios.
Cita: He visto alguno que no tiene un precio abusivo, pero
tambien he leido que IE7 dictamina que no son fiables a ciertos servicios,
(como el que hay gratuito) asi que no se si saltaria con esa empresa.
No sé como funciona IE7 ni como trata ese tema concreto .. pero bueno . . en parte tiene lógica que sólo acepte certificados emitidos por entidades acreditadas (otra cosa será la gente que los emite para taréas concretas como Intranets .. ).
Cita: ¿Que seria lo mejor? ¿Contratar a algun tipo de empresa para que me revisen
la web y el servidor? ¿Como diferenciarlas de empresuchas? Porque hay miles
de patanes por ahi... No tengo pelas para pagarle una millonada porque hagan el chufla... prefiero ser yo el que aprenda mas
NO esperes un servicio de ese estilo "gratuito". En consecuencia tampoco esperes algo "barato" .. Lo otro que deberías hacer es "confiar" en tu proveedor de servicio de hosting .. el ya debe velar por la seguridad en general del servidor .. por supuesto no lo va hacer por tu -trabajo-: tu aplicación .. Pero es cierto que hay proveedores que si detectan algún -mal uso- de sus recursos por un problema de tu programación .. te avisan.
Con respecto a como diferenciar al "bueno" y al "malo" ... Pide opinión en foros especializados, usa google .. no te creas nada de lo que leas en sus "web's". En fin .. compara (esto es como todo .. no irse con el primero que se te cruce).
Un saludo,