Hallo

Ich bau da eine Webseite, bei der die Benutzer mittels login/password in einen geschützten Bereich einloggen können. Ich benutze zur Authentifizierung eines eingeloggten Benutzers eine Zufallszeichenkette (50 Zeichen a-z), die in der URL übergeben wird. Benutzerinfos (Einlogzeitpunkt, Rechte, etc.) werden in einem temporären File abgelegt, das als Namen die übergebene Zeichenkette hat.

Frage ist: Wie sicher ist sowas? Was gibt es für Nachteile, die das ganze unsicher (knackbar) machen könnten? Was für andere Dinge sollte man zusätzlich benutzen (Cookie o.ä.)? Wo gibt es angreifbare Schwachpunkte?

Das hört sich an, als würde man die wichtigen Daten schon zu sehen bekommen, wenn man sich den Quellcode deiner Seite ansieht.

Schau dir das mal an:
http://forum.de.selfhtml.org/?t=38373&m=210064

und natürlich _alle_ Antworten darauf sowie die erwähnte Seite selbst.
Ich denke, dort findest du genug hinweise darauf, was "Sicher" ist und wie es trotzdem umgangen werden kann.

Viel Spaß

Detlef