Tag martin123.

Wie kann man (ohne Coockies) feststellen, wer der tatsächliche User ist?

Setze die Lebenszeit der Session runter. Oder übergib die Session-ID mittels POST-Request, dann taucht sie im URL nicht auf. Nachteil dieser Variante ist natürlich, dass sich der Benutzer via Formular von Seite zu Seite hangeln müsste, was zu Lasten der Usability gehen könnte.

[dsf 3.6]
Siechfred