hallo

Ich habe solche Fälle von Treffern bei ein paar großen Portalen. Die waren total entsetzt, dass die diese Möglichkeit nicht berücksichtigt hatten. Einer der affektierten User konnte aber beweisen, dass er den Scheiß nicht verzapft haben konnte. Und da haben sie angefangen müssen, zu suchen.

Ja aber hier haben wir es mit Kollisionsrisiken zu tun. Hashes sind nicht wirklich kollisionsresistent. Normalerweise verwendest du ja nicht nur ein sessiontoken sondern auch eine statische Information wie eine UserID, so dass zufällige Kollisionen ausgeschlossen werden können. Was dann bleibt ist der mutwillige Angriff nicht gegen den gesamten Pool offener Sessions, sondern gegen den sehr kleinen Pool offener Session-Tokens einer konkreten UserID.