Насколько возможно использовать сеансы грубой силы?
В настоящее время я использую CodeIgniter сеансы базы данных, в которых не используются собственные сеансы PHP - включено шифрование файлов cookie сеанса и сопоставление пользовательских агентов.
Скажем, я установил срок действия сеанса на 4 месяца, сможет ли кто-нибудь подобрать себе путь через идентификаторы сеансов? Не только для захвата сеансов, но и для массового удаления вещей из учетных записей, причинения общего хаоса и т. Д. (Включена защита CSRF CI)
. Я хотел бы дать большинству пользователей длительный идентификатор сеанса, в котором анонимным пользователям предоставляется большая часть функционал зарегистрированного пользователя, вроде любимых вещей - аналогично StackOverflow.