Hi,

"Da man hier einfach durch Weitergabe der Session-ID die Session übernehmen. D.h. ein anderer Benutzer könnte, in dem er z.B. die URL samt Session-ID im IRC gepastet bekommt, diese Session übernehmen und auch die Daten des eigentlichen Besitzers einsehen. Um solche Effekte zu vermeiden sind zum einen Cookies nicht schlecht, da hier keine Session-ID in der URL mitgegeben werden muß. Allerdings sind Cookies auch kein Standard, und man würde jeden ausschliessen, der Cookies verweigert."

Deswegen wollte ich hier nachfragen ob es eine saubere Methode gibt Daten an verschiedene URL's per Post zu übergeben -
so katastrophal schwachsinnig finde ich die Frage nicht ...

Du hast danach gefragt, ob man "bei einem Formular das Ziel angeben" muss. Ja, muss man.
Du kannst standardmäßig Cookies verwenden, bei deaktivierten Cookies auf GET zurückgreifen und zum Beispiel beim Login eine Möglichkeit mit Checkbox anbieten, die Session mit der IP/dem User Agent zu koppeln (muss ausschaltbar sein, da sonst User mit wechselnden Proxys ausgeschlossen werden). Wenns dir total wichtig ist, machst du halt noch einen Hinweis dazu, der User solle nicht wild der restlichen Welt seine Session-ID schicken. Wenn es sich um einen Login handelt, könntest du statt Sessions auch HTTP-Authentifzierung nutzen. Die wäre sicher und braucht keine Cookies.

Schöne Grüße
Julian