Hi,

ist es eurer Meinung nach sinnvoll bei jedem Seitenaufruf dem Benutzer eine neue "Session-ID" zu geben?

nein. Eine Request-ID schon eher ;-)

Genau sowas hab ich gemeint :-)

(mir geht es auch nur darum den User als eingeloggt zu erkennen),

Und woran erkennst Du, um _welchen_ User es sich handelt? Diese Information muß in der ID drin stecken, ansonsten kannst Du sie auch weglassen und durch "login=true" ersetzen. Das wäre kaum weniger sicher.

Ups, ich habe wohl vergessen zu sagen, dass ich das ganze mit einer User-ID kombinieren wollte...

so dass es praktisch unmöglich wäre, dass die Session-ID in Logfiles gefunden und dann benutzt wird.

Wenn die Session-ID aus der Request-ID berechnet werden kann, ist das eigentlich egal. Außerdem läßt sich auch eine Request-ID aus dem Logfile herausnehmen.

Ja klar, nur wenn es für jeden Seitenaufruf eine neue gibt ist die Chance das man eine gültige Request-ID hat ziemlich gering.

MvG
Michel