Hallo!

Die Session-ID ist 32 Byte lang, daß sind ungefähr 4,3 Milliarden Möglichkeiten. Wenn davon 3000 gültig sind, ist das immer noch (grob gerechnet) eine Chance von 1:1 Million, daß eine beliebig eingetippte Session gültig ist. (ein Lottosechser hat eine Wahrscheinlichkeit von 1:14 Millionen)

Meist Du wirklich 32Byte und nicht 32Bit? 32Byte würden ja tatsächlich eine recht hohe Sicherheit geben. Aber wahrsacheinlich nith 2hoch256 sonder "nur" 2hoch224. Darf ja wahrscheinlich weider nicht jedes Zeichen drinstehen, oder?

Beides falsch, Session ist ein MD5-String und das ist eine Hexadezimalzahl, genauer 128 bit. Also schon recht sicher, siehe auch </archiv/2002/9/23580/#m130655>

Ich halte es auf alle Fälle für eine gute Idee IPs nach x Fehlversuchen verübergehend zu sperren, denn auch wenn es "nur" gegen Script Kiddies hilft, was meinst Du wieviele Angriffe von bekloppten Script-Kiddies und wieviele von "echten Hackern" ausgehen, und bedenke was letztere überhaupt für ein Interesse haben könnten!
Und ob IP-Spoofing quer über das Internet so einfach ist weiß ich auch nicht, vermutlich muß irgendein Leck im Netzwerk mit der Angreifenden IP vorhanden sein, womit die Sperrung berechtigt ist.
Aber die Wahrscheinlichkeit, auch bei 3000 gleichzeitigenb Sessions, das ein Angreifer per brute-Force eine der Sessoins errät halte ich für vernachlässigbar. Problematischer ist wenn die Daten jedesmal per GET im Klartext übertragen werden und dann auch noch in allen möglichen, auch fremden Logs auftauchen.

Grüße
Andreas