[php] 1/2 OT Session und Google Cache

[Ringo Großer]

Hallo,

jetzt kommt es noch schlimmer.
Nachdem ich heute noch ein wenig geforscht und getestet habe,
musste ich feststellen, dass ich über den im Google Cache
liegenden Link samt Session-ID wirklich auf einen angemeldeten
User innerhalb meiner Webseite zugreifen konnte. Allerdings
nicht der, welcher dazu im Google Cache ursprünglich namentlich
vermerkt ist, sondern ein völlig anderer. Ich hätte nun dessen
Daten und Einstellungen ändern können.

Dies würde bedeuten, dass PHP bzw. der Webserver innerhalb
von relativ kurzer Zeit die selben Session-IDs generiert. Die
Erfassung des ursprünglichen Links mit der betreffenden
Session-ID liegt ca. eine Woche zurück. Heute Vormittag
wurde scheinbar die gleiche Session-ID wieder vergeben aber
für die Sitzung eines anderen Users.
Ob sie sogar in der Zwischenzeit schon wieder und wie häufig
sie dann vergeben wurde, das lässt sich nun schwer nachprüfen.

Ist denn der Algorhythmus bekannt, nach welchem PHP diese
IDs generiert? Und wie häufig meint ihr werden sich diese IDs
wiederholen?
Wenn das schon sofort danach passiert, sobald alte IDs
verfallen sind (Session abgelaufen), dann ist das doch ein sehr
bedenklich kurzer Turnus.

Allein auf Grund des eben beschriebenen Szenarios darf man
ja schon keine Session-ID per GET verwenden. Vielleicht ist
einem Angreifer der Algorhythmus zur Generierung der Session-IDs
bekannt oder der Turnus und er kann sich unter Anwendung eines
festen ID-Pools in eine bestehende Session einklinken... Oder ist
das jetzt zu weit hergeholt?

War die wiederholte Verwendung der gleichen Session-ID heut
Vormittag vielleicht wirklich nur ein blöder Zufall?
Gibts es Erfahrungswerte, ob und wie oft Session-IDs sich
wiederholen?

regards, Ringo