hallo

Dann greift er aber wohl eine Seite ein, die schlecht konfiguriert ist (die Länge des Session-Tokens ist in der php.ini einstellbar) oder eine unzuverlässige Quelle für Zufallszahlen benutzt.

Die Stärke eines Session Tokens hängt aber nicht von der Länge eines Tokens ab, sondern von der Komplexität der verwendeten Entropie.