Mailinglisten-Archive |
Betreff: Re(2): [php] Hash strukur?? >Bei PHP wird sehr gerne die MD5-Funktion zur Generierung einer Session-ID >benutzt. Ich halte es für möglich, daß dabei die Grundlage zur Berechnung >der hashes(=session-IDs) nicht ausreichend ist. Im Einzelfall könnte dies >dann zur Übernahme der Session führen und sollte daher nicht zum Einsatz bei >sicherheitsbewußten Projekten kommen (neben den anderen Möglichkeiten, >sessions-ids von fremden Rechnern übernehmen zu können). Hallo! Also ich mache das komplett manuell. Ich generiere in einer FOR Schleife eine 50 stellige Zufallskombination aus A-Z, a-z und 0-9 und checke dann, ob die session in der sessiontabelle zufällig doch schon vorhanden ist. Wenn ja, generiert das System einfach nochmal eine SID - das ganze geht im Zweifelsfall bis zu 10 mal... Dadurch, dass jeder generierte Buchstabe wieder ein rnd mit microtime ist, halte ich diese verfahren für zufällig genug. Wie gesagt, wenn es doch mal zu doppelten Werten kommt, dann hat das System ja 10 Versuche... hm, ich weiß nicht, ob das stochastisch so untermauert ist. Aber durch den Gegencheck in der SID Tabelle stelle ich sicher, dass tatsächlich nie eine doppelte SID vorhanden ist. Gruß Tim
php::bar PHP Wiki - Listenarchive