Die Sicherheit von Sessions …
… ist auf Redio gut, aber nicht überall.
Wenn mehrere Seitenbetreiber das selbe Verzeichnis benutzen, in dem sie Sessions speichern wird es problematisch. Zumindest wenn jeder auch noch Leserechte in dem Verzeichnis hat oder zumindest die Dateien auflisten darf.
Denn die heißen meistens sess_$sid und wenn man $sid hat, hat man die Session, kann sie auslesen, verändern usw …
Das Problem hatten wir früher auch schonmal[1] — ich hatte damals darauf aufmerksam gemacht und danach (*Schleichwerbung*) diesen Artikel[2] geschrieben. Auf der ToDo-Liste steht im Moment übrigens auch jedem ein eigenes Verzeichnis zuzuweisen. Das kommt spätestens mit PHP 5.3, aber das ist noch lange nicht stabil genug für den produktiven Einsatz
[1] http://www.redio.info/forum/index.php?topic=2535.0
[2] http://6xq.net/0006