hi Sven,

Auch wenn dein Apache dieses Modul nicht aktiviert hat: Die Überlegungen, wie man zu einer eindeutigen ID kommt, sind nicht uninteressant: http://httpd.apache.org/docs/mod/mod_unique_id.html

yes it is. Aber so was richtig zufälliges gibts ja in der EDV nicht wirklich...

Allerdings ist diese ID komplett auf berechenbaren Komponenten aufgebaut.

...eben deswegen. Auch bei anderen Lösungen...

Gerade bei Session-IDs sollte sowas aber nicht passieren, denn damit kann man die generierten Session-IDs bei Kenntnis des Algorithmus raten.

Es gibt noch einen anderen Grund dafür zu sorgen dass eine sessionID eindeutig ist: Das recyclen der sessionDB auf dem Server. Mal angenommen es haben einige 1000 User Sessions aufgebaut wofür eine Auth. erforderlich war. Von diesen Sessions könnten einige als *Leichen* in der DB bestehen bleiben und: wie es der Zufall so will kommt einer mit einer SessionID daher die es noch in der DB gibt. Aber das wäre ja dann wirklich Zufall...

Viele Grüße, Rolf