hi,

Mir fallen spontan zwei Szenarien ein, in denen durch Übertragung der Session-ID als GET-Parameter die Session geklaut werden könnte:

* Ein Benutzer Deines Webs kopiert einen URI und postet ihn [...]

* Ein Angreifer bekommt Zugriff auf den Access-Log Deines Web-Servers.

Drittens: An ins Dokument eingebundene externe Ressourcen wird sie im Referrer übertragen.

gruß,
wahsaga