Hi Erik,

Habe ich dich richtig verstanden, dass du Dinge wie IP-Adresse
in den "Session-ID-String" (oder wie man das auch nennen will)
einbauen willst?

Wenn ich etwas davon habe, sie wiederzuerkennen, dann ja.
Wenn sie sich beim Client ständig ändern kann, dann nein.
(So gesehen ist die IP-Adresse zwar ein anschauliches und im Intranet
ggf. praktikables, im Internet aber weniger taugliches Beispiel.)

Mir erschiene es sinnvoller diese Dinge nicht dort einzubauen
sondern mit der Session-ID beim Login zu speichern und dann bei
jedem Aufruf auf Übereinstimmmung zu überprüfen.
So spart man sich (De)Kodierung und die Gefahr, dass in dieser
Hinsicht etwas manipuliert werden könnte.

Wenn der Client mit einer unveränderlichen IP-Adresse diese automatisch
immer mit sendet, und ich codiere sie in die Session-ID mit hinein, dann
kann ich auf dem Server erkennen, daß ein anderer Client mit Deiner (!)
Session-ID (die er ggf. im Netz erlauscht hat) einen Zugriff versucht,
der ihm wegen seiner IP-Adresse nicht zusteht!
Ich erkenne also, daß jemand Dich zu fälschen versucht. Je mehr ich
durch eine komplexe Session-Kennung über Dich weiß, desto besser sind
meine Chancen, Angriffe auf Deine Session als solche zu identifizieren.
Die Gefahr der Manipulation wird doch eher kleiner, wenn ich dem Angrei-
fer _zusätzliche_ Hürden in den Weg stelle.

Es geht nicht _nur_ darum, daß ich Deine Zugriffe als zusammengehörig
erkennen kann. Ich will sie _auch_ zuverlässig von anderen Zugriffen
unterscheiden können. Sonst legt Dir der unfreundliche Hacker von neben-
an nämlich Dinge in Deinen Warenkorb, die Du gar nicht kaufen wolltest ...
das schädigt Dich als Kunden ebenso wie den Verkäufer, auch wenn es dem
Angreifer selbst keinen direkten wirtschaftlichen Nutzen verschafft.
(Außer er arbeitet im Auftrag der Konkurrenz ...)

Viele Grüße
      Michael