Hi Stephan,

Die Session-ID ist 32 Byte lang, daß sind ungefähr 4,3 Milliarden Möglichkeiten. Wenn davon 3000 gültig sind, ist das immer noch (grob gerechnet) eine Chance von 1:1 Million, daß eine beliebig eingetippte Session gültig ist. (ein Lottosechser hat eine Wahrscheinlichkeit von 1:14 Millionen)

Meist Du wirklich 32Byte und nicht 32Bit? 32Byte würden ja tatsächlich eine recht hohe Sicherheit geben. Aber wahrsacheinlich nith 2hoch256 sonder "nur" 2hoch224. Darf ja wahrscheinlich weider nicht jedes Zeichen drinstehen, oder?

Sessions sind unser Tagesthema, darum frage cih nochmal nach.

Tom