Dzisiaj czytałem trochę o przypadkach kolizji sesji. Spotkaliście się z tym?

Pod linkiem (podaje jako źródło) opisane są przypadki z goldenline oraz liveleak.

Uważam, że temat wart jest poruszenia. Nigdy nie przyszło mi nawet namyśl, że taka kolizja jest możliwa. Myślałem, że system sesji jakoś porównuje session ID do np. ip czy coś, a tu się okazuje, że dany portal może wygenerować dwa razy taki sam ID. Jest to jakiś bug (dziura) PHP samego w sobie, czy po prostu tak ma być i tyle?

Co sądzicie?

Źródło: niebezpiecznik[dot]pl/post/kolizja-sesji-w-liveleak-com/

No to najwyraźniej nie bardzo wiesz jak sesje działają, skoro piszesz rzeczy typu:



Zdarza się to tak samo jak kolizje funkcji hashujących. Tyle że to też nie koniecznie musi być kolizja sesji, a może być źle działający loadbalancer.. Tak czy inaczej, prawdopodobieństwo że akurat tobie się to przytrafi jest znikome.