Moin!

Wie du die Unsicherheiten bei der Verwendung von SID weitgehend ausschaltest ist dir überlassen. Du könntest z. Bsp. die IP des Users einer Session speichern und falls eine andere auf diese Session zugreifen will dieses verhindern.

Diese Unsicherheit hat absolut nichts mit der Konstante SID zu tun. Es ist eine prinzipbedingte Unsicherheit von Sessions, die sich absolut nicht abschalten läßt.

Durch das manuelle Einfügen der SID-Konstante in eben nur manche, aber nicht alle Links (bei Redirects ist es sowieso zwingend erforderlich, es manuell zu erledigen) kann man lediglich sicher verhindern, dass die Session-ID per Link und/oder Referrer in falsche Hände gerät.

Die Entscheidung lautet also: Session-ID nur per Cookie, oder auch per URL? _Das_ ist die sicherheitsrelevante Frage.

Jegliches Gefrickel mit irgendwelchen IP-Adressen, oder sonstigen dubiosen, pseudo-konstanten Informationen verhindert das korrekte Funktionieren.

- Sven Rautenberg