Moin!

Sicher ist dabei eigentlich nur Methode 1, zumindest ist sie sicherer als Methode 2. Ich würde es also einfach damit probieren.

Nur mal kuriositätshalber: wieso ist Methode 2 unsicherer als Methode 1? 100% Sicherheit gibt es sowieso nicht. (da stimmen wir ja überein) Aber eine Session-ID lässt sich Mathematisch gesehen nur sehr schwer fälschen (bis man eine gültige findet, dauert es sehr sehr lange ...). Hab' ich da was übersehen?

Ich persönlich sehe bei Sessions eigentlich zwei Probleme:

Erstens potentielle Datenlecks, indem die Session-ID in Referern auftaucht.

Zweitens dadurch, daß man meist einen selbstgestrickten Mechanismus entwerfen muß, dessen Sicherheit nicht unbedingt garantiert ist. .htaccess funktioniert einfach.

Die Frage ist: Welche Daten sollen gesichert werden? Denn je nach der Schwere der Folgen eines Einbruchs ist HTTPS unerläßlich, weil unverschlüsselte Daten abgefangen werden könnten.

- Sven Rautenberg