Форум PHP

Точно не помню, но по-моему: число симбволов, которые используются в диапазоне в степени количества симбволов в строке.

33^26 = 3,0294405677241226503105909075986e+39

> только идентификатор сессии для опознания пользователя как-бы недостаточно.
> Может случиться так что , пока авторизованный бегал в магазин за булочками,
> сессия умерла , и завелась совсем другая сессия , с таким-же точно идентификатором
> и прибежав довольным и с булочками он окажется авторизованым под другим именем, и с > > другими правами.
> Даже похуже может случиться история с неавторизованным пользователем,
> настроившим свой браузер никогда не удалять временные cookie

Чушь. Если бэкэнд правильно настроен файлы, содержащие данные сессии удалятся не позже, чем идентефикатор сессии в cookies. Вернувшись пользователю нужно лишь пройти процес аутентификации заново, никто другой в это время не получит его права. Шанс того, что идентефикаторы сессии совпадут на практике практически нереален, диапазон значений там более чем огромен.

Если пользователь установил сохранение куков это не значит что сайт не может их удалить (в противном случае браузер нужно выбросить на мусорку). Если клиент зайдёт на сайт с истёкшим идентефикатором сессии, то он, скорее-всего, заменится на новый. Авторизироваться таким образом ещё более нереально (нужно чтобы совпал не только хеш, но и время посещения страницы, чтобы временные файлы на сервере остались целыми).

Для улучшения безопасности стоит хранить ещё уникальный хеш, который идентефицирует пользователя и сравнивать его предведущее значение (хранимое в сессие) с текущим. Например контрольную сумму от его IP адрес и юзер-агента. Хотя это не прибавит существенной безопасности, а остановит лишь делетантов (если человек смог перехватить данные с айдишником сессии, то что ему мешает подделать свой юзер-агент и айпишник?).

Удобно изменять айдишник при каждом посежении страницы, но это создаёт допольнительную нагрузку (если сессии хранятся в файлах, например, каждый запрос будет допольнительно удалять, создавать новый, открывать для записи и производить запись в новый файл), что может стать узким местом в высоконагруженных проектах.

Приличным я называю провайдера, который на установленном соединении не пытается менять IP хотя бы сутки.
Независимо от расценок и проч.

я.бы не сказал что здесь неприличные сотовые провайдеры , у всех edge есть.
Выбрал сразу всех четырёх .)
Есть даже неплохие расценки. Например 120 абонентской платы за бесплатных 250Mb ежемесячно, и <2 за метр после израсходования, даже так и тянет совсем перейти на мегаfon'овый модем.
если по проводам, слышал есть 1000 в месяц безлимит , мне столько не надо ,) и около 2х тоже за метр вроде

Может нужно выбрать интернет-провайдера поприличнее?

.

Несомненно)

сотовая связь, возможно что-то настраивали.
Или боролись с моими настройками :)
В последнее время теперь ещё стал попадать в ситуации когда забанивают подсети сразу двух сотовых провайдеров ,)
Наверное мне на такое просто везёт

Это что у вас при загрузке каждой новой страницы ip менялся ?

Вероятность небольшая , но я уже видел в своём скрипте "Здравствуйте (другой пользователь)"
После этого как-то пропало желание всё делать на одной только сессии

И насчёт привязки к IP тоже попадал в ситуацию , когда перед каждой загрузкой страницы приходилось подтверждать что я не против что мой IP изменился
(скрипт не мой) , раз 12 подряд.
Не выдержал и отключил такие настройки в личной панели этого скрипта