Sesiones (y cookies)

Hola, a ver si me pueden ayudar a mejorar la seguridad de mi red.
Verán actualmente el inicio de sesión funciona de la siguiente manera
El usuario envía correo y pass por post, luego en mi script php la pass se encripta a sha1 y se compara con la de la base de datos. Si es correcto se inicia una sesión y se mete el id único del usuario en un $_SESSION[], este id es interno, el usuario mismo no lo sabe.
El caso es que quiero mejorar la seguridad de todo este proceso y quizás aprender a usar cookies, que session me está dando problemas, a veces se cierra sola tras 15 minutos, otras tras media hora.. es raro.
Para las contraseñas tengo pensado usar SHA-512 en un futuro y para la session tengo pensado generar un token aleatorio alfanúmerico que se almacene en la base de datos y se meta en un $_SESSION[]
De forma que tendríamos dos variables en session, el id unico del usuario y el token, el token se compararía con el de la base de datos del usuario de $_SESSION en cada ejecución del script para verificar que todo esté bien y que no se ha intentado ningún hackeo.
He leído que se pueden codificar las sessiones o algo de eso, no tengo ni idea de como funciona el tema, si alguien me lo pudiera explicar le estaría muy agradecido.
Respecto a las cookies no sé del todo como funcionan/usarlas y me da miedo usarlas por problemas de seguridad.
También tenía pensado encriptar la pass en la propia página de inicio con javascript antes de enviarla para evitar que lo vean sniffers pero me pareció tontería porque alguna persona malintencionada con sniffer podría perfectamente obtener el hash y envíarlo como si estuviera haciendo login sin que tenga que pasar por el codificador javascript, no sé si me explico. Corregidme si he dicho alguna tontería.
Espero que me puedan aclarar todo esto de la seguridad :P

Primero aprende bien lo que son las sesiones y como se propagan, ya que el mecanismo por defecto es una cookie justamente.

El cifrar una sesión de nada sirve, ya que estas están en el servidor y la única forma de que sean un problema de seguridad, es si alguien tiene acceso físico al servidor.

La cuestión de encriptar passwords es lo que tienes que verificar, puedes usar crypt() para hacer un hasheo del password, o usar otros métodos para encriptar realmente el password.

Saludos.

Gracias por responder!

Las sesiones las entiendo bastante bien, no tengo problemas, o eso creo.

Lo de que las sesiones están en el servidor no es del todo exacto según lo que yo tengo entendido ya que el navegador del usuario almacena algo de información pero creo que esta información no es más que una especia de hash que el servidor le 'da' al navegador al iniciar sesión para identificarse. Por otro lado me ha parecido leer que existe algo llamado session hijacking pero imagino que sólo supone un problema de seguridad para el usuario en redes locales con un usuario usando sniffer en la misma red local.

Para encriptar contraseñas actualmente uso sha1(md5($contraseña)); desde los primeros días que empecé a aprender PHP por lo que las claves de mis usuarios están almacenadas de esa forma. Aún así imagino que podré cambiarlo por SHA-512, algo así como esto:
crypt('passdelusuario','$6$rounds=543210$randomsal tguardadaenbd$');

A eso me refiero, ese "algo le da" es una cookie, con el ID de sesión, no es un hash, es el identificador de sesión, y este se manda por cookies, o puede ser por la URL, pero el mecanismo por defecto es una cookie.

Session Hijacking es el "robar/impersonar" una sesión, lo que hacen es obtener justamente ese ID de sesión, y cuando visitan tu sitio pasan ese ID haciendose pasar por la persona que ya tenía el otro ID, de esa manera no necesitan logearse ni nada.

Lo que tienes que cuidar es el XSS, que es precisamente la manera de robar la cookie de sesión, también indicale a PHP que use HTTP Cookies, de esa manera no las pueden leer desde Javascript. Referencia: http://php.net/manual/en/function.se...kie-params.php

Es bueno que uses sha1(md5()), pero es mejor que uses salts, así puedes usar md5 solamente si quieres ej: md5($token . $password . $salt);

Saludos.

Gracias! Lo del XSS tengo que mirarlo pero en teoría no debería de tener ningún problema, todo el contenido de los usuarios pasa antes por un htmlspecialchars() para quitar cualquier código aunque me imagino que como con todo, alguna forma habrá de 'hackearlo' digamos.

Luego si quiero hacer una cookie que se almacene en el navegador para inicio de sesión automático de forma segura cómo lo haría? Me refiero al método que buscar en el manual de php y google se hacerlo xD Lo que tengo en mente es generar un token alfanúmerico aleatorio largo que se almacene en la cookie y en una columna del usuario en la base de datos y que se compare pero me parece demasiado simple e inseguro.