hi splinter,

Damit wollte ich verhindern dass dieser Thread mit unnötigen Sicherheitsvorschlägen vollgepumpt wird. Da ich aber scheinbar das Session Prinzip falsch verstanden habe erübrigt sich das.

Tipp von mir:

Unter dem Aufbau einer Session verstehe ich, dass ein serverseitiger Prozess dem Client einen eindeutigen Key-String mitteilte und diesen Key-String gleichermaßen serverseitig ablegte.

Eine Session ist solange gültig, wie im weiteren Kommunikationsverlauf zwischen Client und Server, der Client dem Server diesen Key-String mitteilt und der Server erfolgreich prüft, dass es diesen Key-String ebenso auf dem Server gibt.

Abstrakt:

Server und Client handeln einen Key aus und es wird bei jeder Kommunikation geprüft, ob der Key Server- wie Clientseitig übereinstimmt.

Der Übertragungsweg ist _nicht_ an ein bestimmtes Protokoll gebunden, jedoch werden solche Sessions i.d.R. über HTTP/HTTPS abgewickelt, wobei der Key clientseitig meistens in einem Cookie gespeichert wird, obwohl es auch andere Möglichkeiten dazu gibt.

Es gibt bisher keine RFC zu Sessions. Daher sind Deiner Creativität keine Grenzen gesetzt, pespective Barrierefreie Informationstechnik-Verordnung - BITV.

--roro