Ho letto letto l'articolo sulla gestione utenti di DarkBard e il thread relativo e quest'altro interessantissimo articolo sulle sessioni alternative di GM...

Vediamo se ho capito bene... :master:
L'attacco che ho cercato di descrivere goffamente prima è un tipo di cross site scripting: su server condivisi che utilizzano la stessa cartella contenente i file di testo con dentro tutte le variabili di sessione degli utenti loggati, un malintenzionato può fregare un session id, loggarsi ad un sito come un altro utente la cui sessione è ancora aperta, accedere alle variabili di sessione e modificarle a suo piacimento. (Web kreator docet, http://www.webkreator.com/cms/view.php/1665.html)
Giusto?
Un rimedio (ce ne sono altri?) è l'utilizzo delle sessioni su db: memorizzando l'id univoco della sessione, invece che in un file di testo (come fa automaticamente PHP con le $_SESSION), nella tabella di un database (come spiegato negli articoli), solo chi ha accesso al db (ma a quel punto si salvi chi può) può venire a conoscenza del session id di un utente loggato.
La accendiamo?
Ma anche in presenza di SSL si possono fregare i session id?

Ora mi sovvengono ulteriori dubbi.
Nel sorgente del suo articolo, DarkBard dà la possibilità di decidere come propagare il session id fra le pagine: attraverso un cookie o in get attaccandolo alla querystring.
Secondo voi qual è il metodo migliore e perchè?
In get un utente può tranquillamente loggarsi e navigare nella sua area riservata con i cookies disabilitati?
A riguardo ho trovato un thread calzante: http://forum.html.it/forum/showthrea...hreadid=627336
ma fra le opinioni contrastanti non ho capito un granchè... Qualcuno mi vuole illuminare?

Altro dubbio.
Ma il controllo dell'IP (accennato da qualcuno) in un sistema come quello descritto da DarkBard serve o non serve? E' realmente una sicurezza in più? Ma soprattutto, da cosa ci si difende con un controllo del genere?
(Cercherei volentieri l'argomento se il motore di ricerca accettasse anche le parole con meno di tre caratteri... Avete un altro nome per l'indirizzo IP?)

Ciao e grazie a tutti.