Me gustaría reducir la probabilidad de secuestro de sesión implementando una solución de token basada en cookies.
La idea es generar un hash SHA256 basado en información relacionada con el cliente, como:
PHP
$_SERVER['HTTP_USER_AGENT']
JavaScript:
function gatherUserData(){
return ["time_zone", (new Date()).getTimezoneOffset()/60, "history_length", history.length, "browser_name",
navigator.appName, "browser_engine", navigator.product, "browser_language", navigator.language,
"screen_width", screen.width, "screen_height", screen.height];
}
Cuando el cliente solicita una página, desafío su token recalcularla.
Creo que es muy poco probable que un pirata informático tenga toda esta información y, aunque la tenga, la haría un poco más difícil.
¿Ayudaría a prevenir el secuestro de sesiones?
¿Recomiendas alguna otra técnica?