[php] Session Security

[alex at lms-media.de]

hab da nen problem und will meine lösung vorstellen.

wenn ich will, dass meine user ihre session im cookie speichern damit sie
sich beim nächsten besuch nicht einloggen brauchen, wird die ses-id ja im
cookie gespeichert.
da die ganze zeit (beim surfen auf meiner seite) die ses-id entweder per
GET/POST oder cookie (header) übergeben wird, muss ein eingeloggter surfer
immer per SSL surfen.
nun kommt der user nach ein paar tagen (muss dann das session-maxlifetime
erhöhen oder so - gibts ja was besseres um die session auch noch länger
gültig zu halten?) auf meine seite und übergibt die noch gültige session
id - leider unverschlüsselt (beim erneuten besuch).

hab mir folgende lösung zusammengesucht: wenn mein script erkennt, dass
eine ses-id über ein cookie übergeben wurde, leitet es sofort auf das
gleiche script mit SSL weiter. dort wird dann eine identische kopie der
session-file mit neuer session-id erzeugt und die alte session gelöscht.
ab sofort surft der user mit der neuen session id und ein hijacking ist
wenn überhaupt nur für millisekunden möglich.

vor verlassen der SSL verbindung (logout) wird das cookie mit der neuen
ses-id gesetzt.

sollte eigentlich recht sicher sein, oder was meint ihr?