Hi

Mir fällt nur noch ein, das Du in der Session auch die IP-Adresse abspeichern solltest, und bei jedem Aufruf die aktuelle IP-Adresse mit der gespeicherten IP-Adresse überprüfst. Damit kannst Du auch diejenigen Ausschliesen, die unberechtigt in den Besitz einer gültigen Session-ID gekommen sind (Abhören des Netztwerkprotokolls oder einfach Blick über die Schulter).

Das würde ich nur als Option anbieten, aber nicht verpflichtend machen, da z.B. AOL-User dann ausgeschlossen wären, da diese IMHO bei jedem Aufruf eine neue IP bekommen. Diese Option könnte standartmäßig aktiviert sein, nur dass alle AOL und CO User dies ausstellen können.

mfg Andres Freund