Sigue funcionando en mi mente los últimos días, pero leí algunos artículos sobre cómo hacer que sus sesiones PHP sean más seguras. Casi todos estos artículos dicen que necesita guardar el agente de uso en la sesión CON una sal adicional. Algo como esto

$fingerprint = md5('SECRET-SALT'.$_SERVER['HTTP_USER_AGENT']);

La sal dificultaría el secuestro de un atacante o cualquiera que sea la sesión. Pero POR QUÉ agregar una sal cada vez que lo verificaría así:

md5('SECRET-SALT'.$_SERVER['HTTP_USER_AGENT']) == $_SESSION [ 'fingerprint' ]

Entonces, ¿POR QUÉ una sal lo haría más seguro, ya que el atacante todavía solo necesita el agente de uso (que es relativamente un pequeño conjunto de agentes de uso diferentes) y el ID de sesión?

Probablemente algo pequeño que estoy pasando por alto, pero no puedo entenderlo, me vuelve loco jaja

¡Gracias