hi,

ich habe gerade eben festgestellt, dass meine PHP-Anwendung, die mit session_start() beginnt, PHP-Version 5.3.0, eine SessionID annimmt, die initial vom UserAgent gesetzt wird beim ersten Request. Dabei wird nicht einmal auf die Länge geprüft, eine von UA vorgegebene SID=123, oder auch kürzer, wird für die Session verwendet.

Stellt das nicht ein gewisses Sicherheitsrisiko dar, vom UA vorgegebene SessionIDs anzunehmen?

Hotti