Hola, a ver si me pueden ayudar a mejorar la seguridad de mi red.
Verán actualmente el inicio de sesión funciona de la siguiente manera
El usuario envía correo y pass por post, luego en mi script php la pass se encripta a sha1 y se compara con la de la base de datos. Si es correcto se inicia una sesión y se mete el id único del usuario en un $_SESSION[], este id es interno, el usuario mismo no lo sabe.
El caso es que quiero mejorar la seguridad de todo este proceso y quizás aprender a usar cookies, que session me está dando problemas, a veces se cierra sola tras 15 minutos, otras tras media hora.. es raro.
Para las contraseñas tengo pensado usar SHA-512 en un futuro y para la session tengo pensado generar un token aleatorio alfanúmerico que se almacene en la base de datos y se meta en un $_SESSION[]
De forma que tendríamos dos variables en session, el id unico del usuario y el token, el token se compararía con el de la base de datos del usuario de $_SESSION en cada ejecución del script para verificar que todo esté bien y que no se ha intentado ningún hackeo.
He leído que se pueden codificar las sessiones o algo de eso, no tengo ni idea de como funciona el tema, si alguien me lo pudiera explicar le estaría muy agradecido.
Respecto a las cookies no sé del todo como funcionan/usarlas y me da miedo usarlas por problemas de seguridad.
También tenía pensado encriptar la pass en la propia página de inicio con javascript antes de enviarla para evitar que lo vean sniffers pero me pareció tontería porque alguna persona malintencionada con sniffer podría perfectamente obtener el hash y envíarlo como si estuviera haciendo login sin que tenga que pasar por el codificador javascript, no sé si me explico. Corregidme si he dicho alguna tontería.
Espero que me puedan aclarar todo esto de la seguridad :P