Seguridad + Encriptar Cookie + Preguntas

Buenas gentes. acá van un par de preguntas.
Escenario: Portal cualquiera con Registro de usuarios.

1) Cuando me logueo, creo 2 cosas, una cookie en la maquina del cliente y una session en el servidor. Esta bien que pregunte por la session en las paginas restringidas???

2) Cuando salgo del sitio sin cerrar la session, y vuelvo al sitio, pregunto primero si existe la session, si existe entra y si no pregunto por la cookie, si la cookie tiene algun valor que lo loguee. asi esta bien??

3) Cuando una persona se loguea en el sitio, se crea una session y una cookie. La cookie contempla la contraseña del usuario, la puse en md5 pero buscando una lógica me pregunte, ¿Por que codificarla? 1ero que lo unico que puede hacer obteniendo la pass de la cookie, es publicar un par de boludeces en el sitio ya que no tendría importancia por que los administradores antes de publicarlas tienen que corroborarlas. Y 2do si codifico la pass en md5 también tengo que codificar el campo pass de la base de datos lo cual me traeria problemas a la hora de que tenga que devolverle el pass a algun usuario que no se la acuerde. Y mas si existe gente que decodifica pass en md5 que conozco pero no divulgo. Ahora me pueden decir por que codificarla???

4) Estoy trabajando con marcos. Existe algún problema en PHP o en la seguridad como para sacarlos???

5) próximamente.

Agradezco su ayuda.

1) Por supuesto que debes verificar tu sesión . .de echo eso es lo único seguro que te valida tu sesión .. No sé para que usas cookies con datos tuyos .. pero todos esos datos deberían ir en tu sesión. (a no ser que tengas algún sistema de "recordar sesión" o similar).

2) .. Basa todo en tus sesiones .. Las cookies debería de ser secundario para ofrecer esa aparente funcionalidad de "recordar sesión" a los usuarios que quieran trabajar así con el riesgo que eso puede tener (imagina PC's en lugares públicos).

3) .. Si no te importa que puedan tomar esa contraseña de tus usuarios .. entonces la pregunta que te haría yo mismo es: Para que usas contraseñas? ... Así de simple es la respuesta. Si uno pone una "puerta" en algún sistema se supone que es para que no se pueda abrir más que con su llave .. sino no tiene sentido. No pongas contraseñas a tus usuarios.

El tema de guardar tu contraseña en md5() encriptada en un sólo sentido (no se puede desencriptar) .. tanto en tu cookie como en tu Base de datos .. como ya conoces es para evitar que alguien la tome. El problema que tienes de "recordar contraseña" no se resuelve intentando desencriptar esa contraseña ..sino en generar una nueva contraseña .. se la comunicas a tu usuario (viá e-mail .. en pantalla ..etc) y actualizas el campo de tu BD correspondiente. De ahí tu sistema seguro que tendrá opción para modificar la contraseña del usuario (que lo haga el mismo).

4) .. PHP como lenguaje del lado del servidor no "sabe" si trabajas en su salida con marcos o no .. A PHP a nivel de seguridad no le afecta este hecho .. tu sólo debes validar toda variable con valor esperado (sesiones .. cookies .. etc) en todos los scripts (páginas) que llames en tu frame-set .. incluido el própio frame-set (el que llama a las otras páginas en sus frames).

5) .. esperaremos xD.

Un saludo,

gaitagarcia estas por alli.
necesito comunicarme contigo
saludos

Pregunte no mas!

te dejare un mensaje privado saludos