Hi,

also, grundsätzlich hab ich verstanden, wie man auch mit PERL und ohne Verwendung externer Module Session-IDs benutzen kann.

Wie generierst du die Session-id's? Wenn du einen zu einfachen Algorythmus benutzt, ist das ungünstig, weil dann der Schutzt gering ist, weil er zu leicht erraten werden kann.

Mal angenommen, ich erzeuge Dateien mit einer generierten Session-ID als Dateiname.

IMHO so alleine ungünstig, da du so nicht so gut schauen kannst, wie alt die Session Id ist. Ich würde eher in einer Datei alle Session Id's notieren, und dann diese Datei regelmäßig nach ungültigen, weil zu alten, Session Ids durchsuchen. Für die einzelnen Sessions kannst du dann immer noch einzelne Dateien oder einen Datenbank benutzten.

»»Dann speichere ich eine Timeout-Zeit in dieser Datei (z.B. aktuelle Zeit plus 10 Minuten). Diese Zeit kann ich bei jedem Aufruf durch den Benutzer aktualisieren. Verlässt der Benutzer aber irgendwann die Seite, dann möchte ich natürlich, dass die Session-Datei gelöscht wird.
Deshalb nicht die Ausszeit der Session in der Session Datei speichern, sondern alle zusammen in einer anderen Datei.

OK, ich könnte das über einen Logout-Link machen, weiß aber aus eigener Erfahrung, dass man das oft vergisst und meistens einfach den Browser schließt. Wie kann ich nun elegant dafür sorgen, dass abgelaufene Session-Dateien gelöscht werden?

Volkommen richtig, sich nie auf den User verlassen.

mfg Andres Freund
^^^^^^
Verabschiedung ;-)