Hello,

Ist es möglich, diese blöden, ellenlangen Session IDs aus dem URI wegzulassen? Und das auch ohne Cookies?
Kurz gesagt: kann man einen Besucher, wenn er sich einmal eingeloggt hat, auch mit anderen Mitteln wiedererkennen?

Ja, mit HTTP Auth.
Aber:
1. Kommt dann zum Anmelden das berühmt-berüchtigte Anmeldefenster
2. Musst Du dir den Sessionmechanismus dann selber schreiben,
   was aber auch nicht weiter wild ist, wenn Du erstmal alles verstanden hast.
   $_SESSION kannst Du trotzdem benutzen. Du könntest sogar soweit gehen,
   intern mit einer SesseinId zu arbeiten...

Das HTTP Auth gefällt mir in sofern auch besser, da dabei eine Kontrolle von Missbrauch möglich ist. Wenn beide Teile des Zugangs-Schlüssels für sich selber acuh Unique sind, kann man erkennen,
wenn jemand versucht, sich mit einem falschen Schlüssel anzumelden und später auch zuzugreifen.

Bei den üblichen Session-Verfahren, die hier wohl von den meisten benutzt werden, kann man aber den falschen Zugangsversuch (also den mit einer ungültigen Session-ID) niemandem zuordnen und daher dessen Konto auch nicht schützen.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom