Cita: El unico problema que le veo al uso de cookies es que algunos navegadores no las dejan pasar o estan deshabilitadas asi que tienes que morir al uso de URL :(. Si no he leido mal en algunos mensajes del foro el SID se pasa automaticament por URL si asi lo configuras aunque no recuerdo cual es la directiva que lo habilita.
Bueno .. eso es cierto .. pero si tu avisas en tu aplicación que el uso de cookies es requerido por la seguridad de tus usuarios .. ellos veran si las aceptan. Las cookies llegan de tu sitio y será "confiable" para tus usuario (o debería serlo).
Ahora .. si tu quires propagar el SID en el URL .. OK, (ya conoces sus detallitos de seguridad si leistes el documento .pdf que te dejé el link). Con respecto a que PHP propgue el SID en el URL "si la cookie no se puede crear" .. esto no es tan "automático" .. Lo define en principio la directiva session.use_trans_sid a ON .. eso reescribe ciertos tags de HTML (lo define cuales la directiva allow_url_rewirte_tags o algo así) para que PHP inserte el SID en ellos automáticamente. No obstante no lo hace en redireccionamientos javascript (window.location .. etc) ni en header("Location ..") ni en refrescos vía <META ... >. En resumen .. podrías hacer una aplicación para "preguntar" a tu usuario como desea trabajar el sistema y en función de ese "perfil" propagas el SID en cookies o por el URL completamente (incluyendo las excepciones que PHP no lo va hacer por tí).
Cita: De todas formas si yo combino el paso del SID por URL junto con la IP del usuario que la creó (esto lo guardo en el servidor) puedo confirmar que quien está accediendo mediante esa sesion es quien dice ser. Aunque si la asignación de IPs en el cliente verdadero es dinámica obligo a que éste se registre o se valide (si que estoy implementando un sistema de validacion). Es "segura" esta alternativa URL+IP al uso de cookies??.
La mayoría de cosas que expones ya lo hace PHP "por defecto" con su sistema de sesiones .. Pero siempre puedes implementarte tu própio sistema de sesiones .. No serás el primero .. ejemplos:
http://www.code.dearneighbor.com/db_esession.html http://www.zend.com/zend/tut/session.php
El tema de "IP" .. realmente a mi no me gusta depender de ese facto .. Si fuera "único" Ok, pero ya sabes que existen los "proxys" que hacen que todo un grupo de PC's de una conexión pasen por una misma IP .. así que sería peligroso ..
Un saludo,