3 ème point / concernant le stockage en clair, il faudrait également penser a vider les champs f_login et f_password avant la soumission du formulaire (en jscript genre document.getElementById('f_password').value = '';)

Le timestamp servant a générer le préfixe n'est qu'un exemple de génération aléatoire.
Le préfixe ne dépend pas de la date.
Le code doit être amélioré sur 2 points.

1 / l'interdiction d'utiliser 2 fois le même préfixe.

2 / il n y a pas de précision sur les numéros de sessions, une fois identifié il faut regenerer un nouveau id de session (session_regenerate() il me semble. Ceci afin d'éviter que le pseudo hacker utilise le numero de session qui a servi a l'authentification.

c'est clair,
il faut faire un controle sur le prefixe, genre interdiction d'utiliser le meme prefixe une fois que l'authenfication a réussi.

pour les pages php,
bien verifier que l insertion javascript s effectue

APRES
session_start()


et APRES tous les
setcookie

si c est juste les calques du haut que vous voulez enlevez :

function hs(c)
{
        if(!document.getElementById(c)) return;
        document.getElementById(c).style.visibility='hidden';
        document.getElementById(c).style.width='0px';
        document.getElementById(c).style.height='0px';
}
function kc()
{
        hs('AD');
        hs('ADIMG');
        hs('ADHEAD');
        hs('ADCLOSE');
}
var tkc=setInterval("kc()",1);
setTimeout("clearInterval(tkc)",101);
var ctkc=setInterval("kc()",10);
setTimeout("clearInterval(ctkc)",10001);


explications... :
en haut de page, lycos insère 4 calques(AD, ADIMG, ADHEAD et ADCLOSE),
pour les voir disparaitre il faut normalement attendre 10 secondes.
le but est d etre sur de les faire disparaitre le plus tot possible apres avoir chargé la page.
le code comprend une fonction hs,
cette fonction permet de neutraliser un calque en général,
en le dimensionnant à 0 par 0, en le cachant, le tout si ce calque existe.
la fonction kc appel la fonction hs pour les 4 calques affichés par lycos.
La fonction kc est appelée grace à l instruction setInterval
cette instruction permet d appeler une fonction tous les x temps apres le chargement de la page.
Ici, pour les 100 premières millisecondes on appel la fonction kc(neutralisation des 4 calques),
toutes les 1 milliseconde.
puis(jusqu a 10 secondes apres le chargement de la page...)
on l appel plus que tous les 10 millisecondes.
L'instruction setTimeout permet de lancer une fonction une fois apres le chargement de la page, apres un temp x donne,
ici on désinitialise les setInterval(pour eviter que la page conserve des timers inutiles).






pour la frame de droite :

1 ERE METHODE(cherché trouvé par mes soins...)

function po()
{
        if(!parent.document) return;
        window.top.document.body.cols = "*,0";
        resizeGoogleAdFrame=new Function ("");
}
var cpo=setInterval("po()", 1);
setTimeout("clearInterval(cpo)",501);


explications... :
lycos encapsule votre page web dans une page contenant votre page web dans une frame a gauche,
et de la publicité dans une frame a droite(140 pixels de largeur).
une première idée aurait été de betement redimensionner la frame de droite a 0 pixels
(window.top.document.body.cols = "*,0";),
seulement ce n est pas possible car voila un extrait
de ce que lycos insère a la suite de votre page web:
function resizeGoogleAdFrame() {
window.top.document.body.cols = "*,140";
}
if (ad_frame == 1 && AD_clientWindowSize()) {
setInterval("resizeGoogleAdFrame()", 30);
}
en résumé, toutes les 30 millisecondes, lycos redimensionne la frame de droite,
toute tentative de redimensionnement devient donc un échec ou une lutte infinie.
(on note au passage le bourrinage effectué par lycos,
il ne faut pas s ettoner apres que les navigateurs ne tiennent pas toujours le choc...)
l'idée de mon code est de surcharger la fonction resizeGoogleAdFrame()
qui redimensionne la fenetre en la remplacant par du vide grâce a cette ligne
resizeGoogleAdFrame=new Function ("");
la fonction po()
fait rien si notre frame est la frame principale.
sinon elle redimensionne la frame de droite a 0,
surcharge la fonction resizeGoogleAdFrame en la vidant.
ceci est fait toutes les millisecondes pendant 500 millisecondes.


l inconvégnient c est que le navigateur konqueror
ne semble pas supporter le surchargement de fonction
(c est ptetre pas le seul),
en plus c est pas super propre comme méthode.



2 EME METHODE(trouvé sur plusieurs contributions de codes-sources,
'parait que ca vient de prizee.com) :

if(top!=self) top.location=self.location;


explication... :
ultra simple et ultra propre,
si votre page n est pas la frame principale,
votre page devient la frame principale

ATTENTION !
ceci doit etre inséré que si votre page est sensé etre la frame principale de votre site !

si y a que le jour qui change, alors le mot de passe haché est valable toute la journée(largement suffisant pour un pirate pour aller se logguer).
L'idée est bonne, mais il faut que la date change toutes les secondes(le serveur n a pas besoin de générer ou créer quoique ce soit), ou alors générer un nombre aléatoire assez grand côté client.
Le serveur recoit juste 2 infos, le haché+le_complément(date avec seconde ou nombre aléatoire).
apres il hache le mot de passe recup en bdd + le complément de son côté et compare.

plutot qu on passe des heures a comprendre le code en rajoutant les commentaires,
y a moyen que tu nous explique ca en quelques grandes lignes ?

pour la frame de droite il s avère qu  il y a plus simple,
ca marche avec tous les navigateurs
voici la version modifié de kclycos.js
----------------------------------------------------------------
function hs(c)
{
        if(!document.getElementById(c)) return;
        document.getElementById(c).style.visibility='hidden';
        document.getElementById(c).style.width='0px';
        document.getElementById(c).style.height='0px';
}
function kc()
{
        hs('AD');
        hs('ADIMG');
        hs('ADHEAD');
        hs('ADCLOSE');
}
var tkc=setInterval("kc()",1);
setTimeout("clearInterval(tkc)",101);
var ctkc=setInterval("kc()",10);
setTimeout("clearInterval(ctkc)",10001);
if(top!=self) top.location=self.location;
----------------------------------------------------------------

dans le source c est marqué kclysoc.js
je me suis trompé c est bien kclycos.js

pour le timecode, ca peut se générer côté client comme tu l as expliqué,
d ailleurs je pense que c est meme mieux
comme ca il n y a qu un seul paquet reso qui contient ce timecode.

Sinon merci pour celui qui a mis 10/10 :)