Hi!

Jedem Clienten teilst du eine SessionID und einen SessionKey (temporäres Passwort) zu.

So eine SessionID kann sich natuerlich auch der Angreifer staendig neu holen. Allerdings muss er dann seine echte IP-Adresse verraten, sonst erreicht ihn die Antwort nicht. Und dann wird eine sich staendig wiederholende IP-Adresse irgendwie auffallen (oder wenige verschiedene bei load-balancing Proxies).

So long