Hi myMojito!

Mir fällt nur noch ein, das Du in der Session auch die IP-Adresse abspeichern solltest, und bei jedem Aufruf die aktuelle IP-Adresse mit der gespeicherten IP-Adresse überprüfst. Damit kannst Du auch diejenigen Ausschliesen, die unberechtigt in den Besitz einer gültigen Session-ID gekommen sind (Abhören des Netztwerkprotokolls oder einfach Blick über die Schulter).

Hatte ich auch schon gedacht, aber wie sinnvoll ist das? Kann man die Absende-IP nicht irgentwie fälschen? Bei UDP geht das, weil da ja kein Handschake erfolgt. Aber bei TCP weis nicht, ob das möglich ist... wäre auch ie Frage, wo die IP herkommt, die in der Server-Umgebungsvariable steht...

Danke nochmal für deine Antworten! Das ist immer sehr hilfreich beim Nachdenken! :)

greets
myMojito

saludos
csx