>1. угадать с точностью до миллисекунд время захода юзеря В статье же вроде про секунды написано, в этом случае угадать не так сложно, с учетом того, что на куче форумов можно посмотреть время нахождения юзера в online.
>2. узнать точное время старта системы и обнуления этого самого счетчика
>3. знать точное количество и их время срабатывания генератора этих самых случйных
>чисел.
По выданному сессионному id можно без проблем подобрать эти параметры.
>А если в сессии имеется еще какой идентификатор, например от юзер-агента браузера,
Там речь про дефолтные механизмы работы с сессиями.