Das Editieren von URL's kann man verhindern, indem man die Geschichte in ein
Frameset packt.

Und was ist mit "open link in new browser window"? Frames schrecken niemanden ab, der Geld erbeuten oder randalieren will.

Außerdem gibt es noch die Möglichkeit die ID in einem HIDDEN-Field auf allen Seiten mitzuschleppen.

"view source", und ich habe den Inhalt, sehe also sofort, an welcher Position der URL ich etwas ändern muß. Sehr "hidden" ist das Feld eben nicht.

Im Übrigen kann auch ein gewiefter Cookie-Editierer in den Cookies spielen...

Wahr.

Solange die ID aber lang genug ist und nicht berechenbar, wird das immer schwierig sein...

"Nicht berechenbar" hilft wenig gegen ein schnelles Würfelprogramm; "lang genug" ist die einzige Hoffnung - wie bei jedem Verschlüsselungsverfahren ...