Hallo,

• gibt es sonst noch irgendetwas zu beachten?
• wie wird es bei anderen Webseiten gemacht? auch so aehnlich wie ich es mache, oder ganz anders?

im Prinzip wirds überall so gemacht, der user macht ein Login, gibt seine Credentials ein und die Session wird aufgebaut. Die ist solange gültig, wie die Session ID (SID) auf dem Server mit der SID übereinstimmt, welche der user bei jedem Request mitsendet. Weitere sinnvolle Einschränkungen der Gültigkeit sind Ablaufzeiten und|oder Sessions die nur für eine Browsersitzung gelten.

Ob diese SID über einen Cookie oder über einen Parameter mitgegeben wird, ist sicherheitsrelevant völlig egal. Es ist jedoch so, dass ein Parameter leichter manipulierbar ist als ein Cookie im HTTP-Header des Requests.

Auf jeden Fall ist und bleibt neben einer absolut eindeutigen und nicht reproduzierbaren SID das Login der Knackpunkt in der Frage ob eine Session überhaupt geklaut werden kann oder nicht. Die Lösung hierzu lautet SSL (Secure Socket Layer), bekannt auch als HTTPS.

--roro