n'Ahmd Uwe,

ich frage mich, welche Möglichkeiten es gibt, Session-IDs zu "klauen".

Im Sinne von Session_Cookies:

Klau ist nur Möglich wenn

• cookie auf PC, der eine Session hat, ausgelesen und mündlich oder schriftlich oder in einer anderen Form weitergegeben werden kann,

• ein Netzwerkanalyzer (sniffer, tcpdump, ethereal) in der Collision-Domain des PCs angeschlossen werden kann (in einer ge-switchten Umgebung praktisch nicht möglich),

• der Programmierer einen session-key verwendet, der leicht erraten werden kann (i.e.: UNIX-Timestamp).

--roro