Hallo,

Weitere sinnvolle Einschränkungen der Gültigkeit sind Ablaufzeiten und|oder Sessions die nur für eine Browsersitzung gelten.

was heißt eine browsersitzung? heißt das, dass die selbe adresse (die auch die SID enthaelt) in einem neuen Browserfenster nicht funktioniert?

Auf jeden Fall ist und bleibt neben einer absolut eindeutigen und nicht reproduzierbaren SID das Login der Knackpunkt in der Frage ob eine Session überhaupt geklaut werden kann oder nicht. Die Lösung hierzu lautet SSL (Secure Socket Layer), bekannt auch als HTTPS.

Das hängt nicht von den Skripts, sondern von der Serverkonfiguration ab, oder?

mfG,
steckl