Hallo beatovich,

Dann greift er aber wohl eine Seite ein, die schlecht konfiguriert ist (die Länge des Session-Tokens ist in der php.ini einstellbar) oder eine unzuverlässige Quelle für Zufallszahlen benutzt.

Die Stärke eines Session Tokens hängt aber nicht von der Länge eines Tokens ab, sondern von der Komplexität der verwendeten Entropie.

... die wiederum davon abhängt, wie groß der Ergebnisraum ist und den schränkt man dann doch durch die Konfigurationseinstellung dann doch wieder ein, oder sehe ich das falsch?

; Set session ID character length. This value could be between 22 to 256.
; Shorter length than default is supported only for compatibility reason.
; Users should use 32 or more chars.
; http://php.net/session.sid_length
; Default Value: 32
; Development Value: 26
; Production Value: 26
session.sid_length = 48

Wenn ich den Token versuche zu knacken, fällt mir das doch nicht leicht, wenn der Zufallszahlengenerator Zahlen mit hoher Entropie erzeugt und der Token lang genug ist, weil ich den ja zu erraten versuche!

Gruß
Julius