far leggere il file non sarebbe un problema in qualsiasi browser, ma al momento non mi stavo preoccupando dell'autenticazione in sè, quanto di come evitare problemi con la sessione. Se qualcuno riuscisse a fregare l'id di sessione di un utente già autenticato ogni tentativo per rendere più robusta possibile l'autenticazione sarebbe inutile ..

Cmq leggendo in giro pare che l'unico modo attendibile sia salvare nella sessione l'md5 di una combinazione degli header inviati dal browser, che possono essere ricalcolati ogni volta, in combinazione all'id di sessione salvato in un cookie e stringhe random passate via GET.

A questo punto per fare il session hijacking è necessario passare gli stessi header, leggere i cookie e vedere se viene passata qualche stringa tramite GET. L'unione di queste 3 cose dovrebbe essere abbastanza complicata.

Oltre ad altre astuzie come inizializzare la sessione solo dopo che la procedura di login è stata effettuata e solo dopo aver rigenerato l'id di sessione, per bloccare tentativi di session fixation.

se trovo qualcosa di risolutivo lo posto qui in ogni caso

in ogni caso grazie per l'attenzione :-)