Hi,

Der User konnte sich so zwar nicht mehr über den Zurückbutton einloggen, aber auch nicht mehr durch den neuen Aufruf der Loginseite, weil ja auch dort noch die gleiche Session-ID gesetzt war. (Also hätte der User das Browserfenster schließen und neu öffnen müssen.)

Ein Reload der Seite sollte eine frische ID erhalten, denn der Reload ist ja dadurch identifizierbar, das er kein Benutzerdaten enthält. Genau wie beim erstem jungfräulichem Aufruf. Deshalb verstehe ich das nicht so ganz mit dem "Browserfenster schließen und neu öffnen".
Achso, ja, ich vergaß, sorry >;->

Erzeugte ich nun im Loginformular eine neue Session-ID, war auch wieder der Login über den Zurückbutton möglich, weil auch dann eine neue Session-ID erzeugt worden ist.

Nein, die Erzeugung sollte vorher passieren. Könntest natürlich auch mit dem Referrer herumspielen. Oder Du läßt das mit dem no-cache und experimentierst ein wenig mit Caching und Last-Modified et al. Dann wird eventuell (denn das ist natürlich auch nicht sicher) die ID nochmal gesendet -> Fehlermeldung.
Wahrscheinlich brauchst Du von allem ein bischen und mindestens eine Woche, damit Du dich durch alle Browser und Patchlevels durchprobiert hast auch wenn es IE-only ist.
Das alles für ein wenig Kosmetik?
Aber das Problem ist zumindest technisch interessant, ich schau mal, was sich anderweitig so findet.
Wenn ich denn das Problem in maximal 10 Begriffe packen kann ;-)

so short

Christoph Zurnieden