Hallo Tom,

Wenn nur ein Benutzer arbeitet, dann wird es wohl tatsächlich schwer sein, die eine gültige Session-ID aus dem Vorrat zur erraten. Was ist aber, wenn es schon 3000 Benutzer sind, die Sessions unterhalten?

Die Session-ID ist 32 Byte lang, daß sind ungefähr 4,3 Milliarden Möglichkeiten. Wenn davon 3000 gültig sind, ist das immer noch (grob gerechnet) eine Chance von 1:1 Million, daß eine beliebig eingetippte Session gültig ist. (ein Lottosechser hat eine Wahrscheinlichkeit von 1:14 Millionen)

Man könnte ja auch serverseitig den Traffic mit einer IP für eine Weile ablehnen, wenn von dort z.B. mehr als 5 Fehlversuche innerhalb einer Zeitspanne von 10 Minuten gekommen sind.

Als zusätzliche Sicherheit vielleicht einen Versuch wert, allerdings gibt es IP-Spoofing. Wenn Du die IPs verwendest, und jemand macht einen Angriff, der scheinbar aus einem bestimmten Firmennetz kommt, dann sperrst Du damit das falsche Netz. Hilft also im Zweifelsfall auch nur gegen Skript-Kiddies.

Viele Grüße
Stephan