IPが固定だとIP+クッキーにあるパスワードのMD5を組み合わせて安全に利用できるんだけどそうも言ってられないか…
セッションIDを持たせるとなると面倒だし、すぐになりすまされちゃうと管理者側が追い出される罠。(いや、IPとセッションIDを全てweb側に記憶しておいて違うセッション番号な場合でも以前のIPとセッション番号を参照して一致したら新しいIPを無効にすればいいんだけど面倒杉。しかもその方法でも穴があるし。)
何かセッションハイジャック(クッキー抜き)されても安全な方法はないものかなぁ…
検証にIPを使うようにして解決。