hi,

Sind die Daten in der Session wirklich sicher?

jein.

die daten werden auf dem server in session-dateien abgelegt, meist in einem temporären verzeichnis.

die zuordnung erfolgt über die session-id, und dort liegt auch die schwachstelle des konzeptes:

wenn du die session-id per URL übergibst, kann jemand, der an diesen URL herankommt ("ich hab da so einen online-shop entdeckt, warte, ich schicke dir mal kurz den link ..."), damit die session übernehmen.

die session-id nur in einem cookie abzulegen schützt zwar dagegen, macht aber auchnicht unangreifbar.

Also ich schreibe da nicht die Kreditkartennnumern oder so rein, nur adresse, name etc.

ich denke nicht, dass für so allgemeine daten, die im regelfall auch im telefonbuch zu finden sind, erhöhten aufwand zur übernahme deiner session betreiben wird.

gruss,
wahsaga