Ciao!

Non sono un esperto di sicurezza, ma se la vostra preoccupazione è lo sniffing dei dati e la capacità di risalire ai dati hashati con md5, il sistema che avete considerato non risolve questi problemi.

Prima di tutto se posso vedere i dati trasmessi, posso anche vedere le 3 stringhe e quindi conosco la loro lunghezza (non ho neppure bisogno di andare a vedere il file di sessione) e quindi risalgo comunque alle stringhe hashate senza problema.

Il vero problema è risalire alle stringhe originarie (sha1 è meglio di md5 come sicurezza), ma credo che voi diate per scontato che si possa fare.