Hallo!

PHP kann nicht prüfen, ob die gesendete Sessionnummer eine echte oder eine gefälschte Sessionnummer ist, wenn man nicht ein zweites Kriteium einführt. In Netzen ist das entweder die connection-number oder eben in verbindungslosen Netzen ein zweiter Schlüssel. PHP kann mit einem Schlüssel, also z.B. der Sessonnummer, nur prüfen, on der Schlüssel zufällig irgendwo passt.

Du _willst_ mich nicht verstehen, oder? Es ist _vollkommen_ außer Frage dass die standardmäßige Prüfung von PHP dieses Risiko birgt, die Frage ist wie hoch dieses Risiko ist, und ob es Anwendungen gibt, wo dieses Risko zugunsten anderer Argumente tragbar sein kann, wie Warenkörbe oder Boards.

Das hat hier nichts mit meiner Meinung zu tun. Es gibt schlaue Professoren, die sich das alles ausgedacht haben und das schon vor über 150 Jahren. Vielleicht haben sogar schon die Pyramidenbauer über Echtheit von Schlüsseln nachgedacht, denn sonst hätten sie nicht soviele Geheimtüren (das Wissen, wo sie ist, ist auch ein Schlüssel) oder Virenattacken zusätzlich eingebaut. Warum ignoroerst Du dieses Wissen?

Ich dene nicht das dieses Wissen 1:1 übertragbar ist. Damals gab es keine Browsr die Cookies abschalten können! Der technisch opimale Weg ist nicht immer der beste um ans Ziel zu kommen!

Trotzdem natürlich ganz liebe Grüße aus http://www.braunschweig.de

Ohne unseren Dauerdisput würde mir sowieso was fehlen :-))

Gib mir Recht und ich geb Ruhe ;-)))

Grüße
Andreas