Moin,

Stellt das nicht ein gewisses Sicherheitsrisiko dar, vom UA vorgegebene SessionIDs anzunehmen?

Für wen ergibt sich dadurch welches Risiko?

Für den Betreiber eines Servers mit sensiblen Daten. Der Angreifer muss sich nicht die Mühe machen, im ersten Schritt zu diesem Server zu gehen um sich eine SID zu besorgen: Er kann 'gut aussehende' SessionIDs selbst festlegen und potentiellen Nutzern unterjubeln. Dann muss er nur noch abwarten, bis sich einer von den Nutzern anmeldet und dabei eine Session verwendet mit einer dem Angreifer bereits bekannten SID.

Hotti