Hello,
» Und selber basteln, auf Basis von Ausgangswerten wie aktueller Zeit in Millisekunden etc., sollte man sowas schon mal gar nicht - da kann man sehr schnell etwas zusammenstöpseln, was sehr leicht angreifbar ist.
Da mache ich mir bei mt_rand() eigentlich keine großen Sorgen mehr.
Danke für den Link.
Bei PHP >= 5.2.6 sollten diese Probleme aber behoben sein.
Da gab es aber noch irgend eine andere Geschichte, wo ein wilder Zugriff auf den Speicher von Lektoren beseitigt wurde, und gegen einen "ordentlichen Zugriff" (Initialisierung) ausgetauscht wurde, was dann zu einer Lücke führte.
Aber das war, glaube ich, bei SSL, oder?
jedenfalls hatte es wohl mit ungenügender Dokumentation zu tun.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg