Hallo Tom,

Dann greift er aber wohl eine Seite ein, die schlecht konfiguriert ist (die Länge des Session-Tokens ist in der php.ini einstellbar) oder eine unzuverlässige Quelle für Zufallszahlen benutzt.

Selbst wenn man wegen der Kompatibilität mit seinen alten Datenbankmodulen (Spaltenbreite 32), die Länge der SessionID bei 32 Digits belässt, ist die Anzahl der Werte pro Stelle auf 64 gestiegen. Früher war das nur ein md5-Hash.

PHP benutzt dafür doch keine Datenbank, sondern legt das als Dateien ab, oder liege ich da falsch? Wenn man aus Gründen der Kompatibilität Abschläge an der Sicherheit machen möchte, sollte man lieber erst einmal das alte Gerümpel ausmisten oder modernisieren.

Dann ist es aufgrund der vielen möglichen Session-Tokens extremst unwahrscheinlich, dass das mit Bruteforce funktioniert.

Gruß
Julius