Cita:
Iniciado por Ronin46 
Debo de estar completamente ofuscado xD.
webankenovi, tu código precisamente muestra lo que no entiendo, así que me voy a centrar en él.
¿Me puedes explicar para qué haces un hash de los datos de la cadena de identificación? Si un atacante es capaz de falsificar exactamente los datos de las cabeceras HTTP, la IP de la víctima y la cookie que contiene el token, ¿qué más da el hash o cualquier otro sistema súper complejo de encriptación que montes? A igualdad de datos de entrada, igualdad de resultado generado, así que la obtención de tu cadena de identificación es igual de vulnerable esté o no "hasheada".
El único motivo que puedo ver para "hashear" la cadena de identificación es porque el hash resultante (128 caracteres en este caso debido a que usas whirlpool) es más corto que la simple concatenación de todos los datos de la cadena de identificación.
P.D: Mi pregunta no se debe a que lo necesite implantar en algún proyecto, simple curiosidad formativa.
Saludos.
Humildemente hago un aporte a lo que comentas, si bien es cierto nada es 100% seguro el hash que te comentan tu ahora lo criticas porque sabes como se construyo, en cambio quien te pueda robar el id no sabe exactamente que información contiene dicho hash por lo tanto le tomará un buen tiempo construirlo para reemplazarlo, por lo tanto depende de la creatividad de cada quien como construye sus hash para hacerle la vida mas dificil a quien decida robar tu sesion ahi depende de quien se aburre primero jajajajaja
Saludos...