Hallo Lude,

eine Sitzung wird "logisch" gefuehrt. Man kann, und ich habe das schon getan, Sitzungen fuehren ohne Nutzeridentifikation,

Nein. Eine Sitzung identifiziert _immer_ einen Nutzer. Auch wenn das einzige, was zum Nutzer gespeichert wird, die Session-ID selbst ist.

also ohne Sicherheit

Identifikation bedeutet nicht zwangsläufig Sicherheit.

Sitzungen timen immer auch aus.

Nicht zwangsläufig. Aus Sicherheitsgründen sollten sie.

• Bei "Users Online" geht es m.E. um _genau dasselbe_.

Nein. "Users Online" beinhaltet mehr: es geht um a) die eineindeutige Identifikation des Benutzers (nicht nur eindeutig, sondern wirklich eineindeutig!) und um b) den Status des Benutzers, _nachdem_ der HTTP-Request abgeschlossen ist.

Man muss die Information "Users Online" eben mit Vorsicht geniessen.

ACK.

Wenn man die Sitzungsgeschichte um Identifikation / Sicherheit erweitert, dann haette man analog dazu das "Friends Online" - mit denselben Einschraenkungen beim Genuss.

Nicht ganz. Bei "Friends Online" fehlt ja immer noch der Status des Benutzers.

Viele Grüße,
Christian