Hallo,

erst mal vielen Dank für die (schnellen) Antworten ...

Ich muß noch mal etwas ausholen. Für das "Aufbauen" von Sitzungen gibt es ja
3 Möglichkeiten:

- Cookie
 - URL-Rewriting
 - Hidden Fields

Bei der zweiten Variante wird die Session-ID ja in der URL mitgeführt.

Kern meiner Frage hätte wohl sein müssen:

Geht die URL bei HTTPS (und mit ihr eine mögliche session-id) im Klartext
über die Leitung oder ist sie Bestandteil der HTTPS-Verschlüsselung ?

Mir geht es hier um das Abhören durch Dritte. Start und Zeilssystem können
wir dabei mal außen vor lassen.

Bei den Session-Alternativen Cookie und Hidden Fields ist es offensichtlich so.

Gruß Uli