Это не запрещает использовать IP для проверки авторизации. Просто для таких юзеров будет актуальна галочка "запомнить в куках мой логин-пароль". Пару раз введут пароли, потом сами найдут галочку... ну или с сайта сбегут...   

А вот еще вариант, который будет довольно безопасным.

Пользователь авторизируется. В БД создается запись, где будет находится наша `sessid`,`user`,`ip`,`dt`...
Строка`sessid` будет генерироваться случайным образом, например md5(логин + пароль + id).
А сейчас очень важный вариант, спасающий от дос атак: очень важно прослеживать активность пользователя. Если заходов с одного IP, например, за 30 сек больше 50, то завершить работу скрипта, с соответствующим сообщение о безопасности. Или вот еще поинтереснее вариант: выделяем количество записей из БД которые были активны на протяжении 10-20 сек. Если кол-во записей преувеличивает, например 20-30, то что-то не так и выдаем сообщение, мол сервер перегружен.
Примерно по такому принципу мой друг боролся с дос атаками на moto.com.ua. Вот я с Вами и поделился.
Спасибо за внимание. Удачки Вам!  

LittleFuntik, как правило на запуск скрипта ресурсов тратится больше, чем на его работу. А еще если в скрипте и проверять IP...

вобщем лишь нагрузку увеличит.

Такое может прокатить лишь с массивными скриптами. Про дефекты кодерской мысли типа битрегза я не буду говорить, тут точно поможет.

Мне кажется, что использование БД для борьбы с DOS-типом атак можно назвать только анекдотическим. Да и не бывает сейчас простого DOS, только распределенный. 

По первоначальному вопросу. Хоть он и старый, но какое-то обсуждение неконкретное, по кругу об одном и том же.
Разница между вариантами А и Бэ представляется мне не настолько принципиальной, чтобы об нее копья ломать. Идеи про расшифровку или кражу хэшей кажутся мне сильно гипотетическими. Разница только в количестве кук.

А вот по сессиям, мне кажется, что автор смешивает два понятия: сеанса и "запоминания" пользователя для последующей автоматической авторизации. Пытаясь сделать только последний. Такой вариант имеет право на жизнь, но представляется мне гораздо менее гибким, чем классический.  В нем, в частности, нельзя сделать проверку IP без неудобств для пользователя. Плюс мы теряем возможность работать при отключенных куках (да, это менее безопасно, но контроль IP дает вполне достаточную защиту). 

Мне представляется куда более удобным применение обоих методов. Для запоминания сеансовой информации используется "классическая" сессия до закрытия браузера, а для запоминания юзера - кука с хэшем. 

А если запустили робота, который только и знает, что ежесекундно создает сессии... То что делать? висим, Сервер...

Это сообщение отредактировал(а) LittleFuntik - 7.7.2009, 16:31

Мне кажется, обсуждение ДОС атак здесь будет оффтопиком. К регистрации пользователей всё это не имеет никакого отношения. 

ох уж эти правила... "оффтоп" понимаешь-ли))) сори, Ипатьев