参照:http://b.hatena.ne.jp/HiromitsuTakagi/20070426#bookmark-4557199
[セキュリティ][乱数][PHP][使うな危険][bad] 「セッションIDの重複による脆弱性などに気を配る必要方は試してみては」 < 重複だけが問題なのではない。 予測困難性が求められていることが理解されてない。 その確認ができていないアルゴリズムを使ってはいけない。
予測困難性が重要であるのはおっしゃる通りです。
僕が 4/21, 4/22 で重複にしか触れていないこと、4/24 でも予測困難性について触れていないこともまた事実です。
これで「実はそれも意識して作っていました」なんて言っても説得力はありません。
が、少なくとも session_hash モジュールが生成するセッション ID は種に質の良い疑似乱数を使っており、製作者の意図の有無に関わらず、PHP 標準のそれより予測困難なものであることは確かです。