Witam
Zastanawiam się właśnie nad bezpieczeństwem jednego z rozwiązań jakie chcę wdrożyć na stronie, mianowicie chodzi o wywołania ajax'em. Sprawa jest taka, użytkownik po zalogowaniu się do swojego profilu powinien mieć na bieżąco aktualizowany box z wiadomościami do niego wysłanymi. Oczywiście wiadomości nie powinny być dostępne ani widoczne dla nikogo innego.
Rozwiązanie jakie wymyśliłem to coś takiego:
1) użytkownik po zalogowaniu dostaje jakiś hash na przykład całkiem przypadkowy z jego loginu i losowej liczby
2) hash ten zapisywany jest wraz z numerem IP komputera i datą zalogowania z którego się zalogował w jakieś bazce
3) odświeżenie okienka jego wiadomości wywoływane jest przez ajaxa pobierając GETem strone o adresie np. wiadomosci.php?recent=1212133&hash=[tutaj jego hash z pkt 2]
4) serwer sprawdza czy hash sie zgadza, czy IP jest ok i jeśli tak odpowiada kawałkiem htmla z wiadomościami.
Zauważyłem że na przykład nasza klasa robi dość podobnie...
Pytanie moje - czy takie rozwiązanie jest bezpieczne i wydajne, a może robi się to zupełnie inaczej ? Poradzcie
Pozdrawiam
Sequan