OK, maybe it is just me, but I was not aware that the random class was not Thread Safe (I was aware that it is recommended that you don&#39;t create a new Random object on every use).<div><br clear="all">I just documented my findings/experience at the O2 Blog <a href="http://o2platform.wordpress.com/2011/07/16/humm-net-random-class-is-not-thread-safe/">http://o2platform.wordpress.com/2011/07/16/humm-net-random-class-is-not-thread-safe/</a> and, I have to say that I have the feeling that there are a number of security vulnerabilities out there created by this behaviour (think of an multi-thread environment which receives a lot of traffic and uses the Random class for session/key/token/id generation).</div>
<div><br></div><div>And since it requires a certain number of requests/threads to trigger the problem, it might not be easy to detect, debug and/or replicate (note that Random doesn&#39;t fail safely... i.e. once the race condition is triggered, it will just return 0).</div>
<div><br></div><div>Here are a couple projects that (look like they) use the Random class: <a href="http://www.google.com/codesearch#search/&amp;q=%22new%20Random%22%20lang:%5Ec%23$&amp;type=cs">http://www.google.com/codesearch#search/&amp;q=%22new%20Random%22%20lang:%5Ec%23$&amp;type=cs</a></div>
<div><br>Dinis Cruz<br><br>Blog: <a href="http://diniscruz.blogspot.com">http://diniscruz.blogspot.com</a><br>Twitter: <a href="http://twitter.com/DinisCruz">http://twitter.com/DinisCruz</a><br>Web: <a href="http://www.owasp.org/index.php/O2">http://www.owasp.org/index.php/O2</a><br>

</div>