Ob du jetzt in einem Script:
PHP-Code:
session_name(blabla));
session_id(blabla));
session_start();
machst, oder per Browser ein gefaketes Cookie sendest, kommt so ziemlich aufs gleiche raus: "Die absichtliche Übenahme einer Session."
Sollte dieses einfach so möglich sein, ist das System schlampig programmiert! Man läßt damit sogar die versehendliche Doppelvergabe von SessionIDs zu. Ich weiß, die Wahrscheinlichkeit für einen solche Zufall liegt irgendwo bei 1:16^32, aber Zufall bleibt Zufall.
Also, will man Sessions übernehmen können, dann muß das Script schlampig geschrieben worden sein.
Sind schlampige Scripte sicher? Wohl nein!
Wollen wir unsichere Scripte für gut verkaufen? Wohl nein!
Und nochmal zum mitmeißeln:
PHP-Code:
foreach(glob(ini_get('session.save_path').'/sess_*') as $sf) {
session_id(substr(basename($sf), 5));
session_start();
print_r($_SESSION);
session_write_close();
sollte wirklich das so möglich sein, dann ist das Login, oder was das auch für ein Script ist welches die Daten in die Session schreibt, schei*ße!!
Sessionübernahmen sollten immer erkannt werden. Zumindest darf ein "Fremder" nicht ohne zusätzliche und hohe Hürden die Sessiondaten nutzen können.