Здравствуйте, Kana, Вы писали:
K>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Используйте в качестве идентификаторов GUID
K> А не могли бы вы более подробно объяснить, чем плох GUID в качестве идентификатора сессии? Честно, даже идей нет.
В зависимости от используемой версии UUID и ее конкретной реализации, атакующий, имея на руках относительно небольшое количество сгенерированных UUID'ов, может предугадать всю остальную последовательность и подобрать валидное значение сессионного токена за приемлемое время. По виндовой старой реализации была статья прямо здесь:
http://www.rsdn.ru/article/Crypto/UuidCrypto.xmlАвтор(ы): Николай Денищенко
Дата: 29.08.2008
В статье исследуется механизм работы WinAPI-функции UuidCreate, работающей в роли UUID-генератора в ОС Windows, а также вопрос применимости его в качестве генератора псевдослучайных чисел. Разбираются версии библиотеки rpcrt4.dll, входящие в ОС Windows XP, Vista и Windows Server 2008.
, как доберусь до закладок — могу накидать ссылок на аналогичные исследования для других сред и платформ.