Originariamente inviato da barx78
sono idee mezze buone, ma solo a metà.

Premetto che lo scopo delle mia paranoie è evitare problematiche di session hijacking e session fixation, che sono ben più subdole e insidiose di semplici tentativi di sniffare nome utente e password (per evitare questo basta SSL).

l'ip può essere comune a più utenti (vedi pc dietro a un nat o gli utenti fastweb che escono un ip unico) oppure può variare durante la connessione (alcuni provider a volte lo fanno, ma sono pochi).

gli header inviati dal browser invece possono essere sniffati (basta che ti faccio visitare una mia pagina).

Https sicuramente è una cosa in più ed è molto robusto, ma se riesce a fare una code injection un estraneo riesce comuqnue a leggere i cookie e altra roba.

Invece la lettura di un qualche parametro hardware (seriale del disco, file su una chiavetta usb, ecc) sarebbe una figata, ma trovare un sistema cross browser e cross platform è un incubo.

quindi al momento uso un accrocchio di tecniche viste in rete, ma non sono ancora soddisfatto al 100%
adesso non so che stai gestendo però sembrano veramente troppe paranoie comunque puoi portarti le sessioni su db così non ci sono problemi

parti dal presupposto che sul web non c'è nulla di sicuro e che il 100% non esiste.. la sicurezza esiste solo con il cavo della rete staccato..

la chiave hw servirebbe solo in fase di startup e comunque non sarebbe sicuro lo stesso visto che comunque dovrebbe partire una richiesta o sul db o come parametro appeso all'url oppure come cookie..
siamo sempre lì .. qualsiasi sia la soluzione che adotti sarai sempre soddisfatto a metà..