Guten Morgen,

Ich meinte es allgemein, warum kann man das mit HTTP nicht abbilden? Z.B. so wie DU es beschreiben hast?

Versuch es mal, eine Erkennung durchzuführen, dass ein Client eine Session-ID zu erraten sucht und genau diesen Client auszusperren, wenn er mit dem nächsten Versuch kommt.

Woran willst Du ihn erkennen? Es gibt da Cal-by-Call-Provider, die jeden Request über eine andere IP abwickeln. Ich brauche also nur so einen zu nutzen.

Und noch was: Ich brauche nicht zu warten, bis die Antwort auf einen Request eingetroffen ist. Ich kann von meinem Server aus (der spielt Browser) alle Millisekunde oder öfter einen Request abschicken (vorausgesetzt, er hat genug Speicher) und dann z.B. bei Basic Auth einfach schauen, welcher nicht mit 401 sondern mit 200 beantwortet wurde. Die 401er schmeiße ich nach Registrierug, dass sie falsch sind, gleich weg.

Session-IDs muss ich außerdem nicht immer erraten. Es gibt hier ja Leute, die Sessions über inline-IDs für genial halten, weil sie aus irgendwelchen mir unerklärlichen Gründen Cookies ablehnen. Ich habe nun schon ein paarmal eine solche Seite von Freunden per eMail geschickt bekommen. Die wollten mich einfach auf irgendwelche Angebote hinweisen. Die Session-ID stand natürlich drin.

Liebe Grüße aus http://www.braunschweig.de

Tom