Мое веб-приложение работает только через SSL и устанавливает ограниченный по времени файл cookie для каждого пользователя после успешного входа в систему с именем пользователя и паролем. Самая большая слабость в системе - это компрометация файлов cookie существующего пользователя. И двое угадывают GUID идентификатора сеанса.
Я знаю механизмы первой уязвимости, но мне интересно, насколько мне нужно беспокоиться о вероятности того, что злоумышленник угадывает GUID идентификатора сеанса на основе идентификатора GUID, который они ранее получили, войдя в учетную запись, которую они настроили? Веб-сервером в данном случае является Windows 2003, а идентификаторы GUID создаются с помощью .Net 3.5.