Hi!

Hat aber jemand anderes die ID (zum Beispiel weil er in der Leitung mitlesen konnte, aus der Browser-History wenn die Session-ID mangels Cookie an die Adresse angehängt wurde etc.) kann er sich in die Session, innerhalb der 20 Minuten bis sie vom Server beendet wird, einklinken und kommt damit auch in dein Backend.

Er kann sich auch einklinken, während der andere die Session noch aktiv benutzt. Das Risiko, veränderte Daten oder ungewöhnliches Verhalten zu Gesicht zu bekommen, während man noch aktiv ist, ist nur höher.

Und die 20 Minuten sind ein Minimalwert, den die Sessiondaten seit dem letzten Zugriff erhalten bleiben. Da die Garbage Collection nur beim session_start() wirksam wird, wofür also ein Script-Aufruf vonnöten ist, und zudem der GC auch nicht stets sondern (mit Default-Konfiguration) nur per Zufall aufgerufen wird, ist die Zeit durchaus länger auf wenig frequentierten Systemen.

Lo!