Auch in einem Betrieb wird doch jeder Rechner nur von einem Benutzer zur Zeit in Beschlag gehalten.

Schon klar. Ich meinte, wenn verschiedene Rechner parallel auf eine Website zugreifen. Kriegen die nicht alle dieselbe IP nach außen

Unerheblich. Eine Sitzung wird nicht anhand der IP zugeordnet, sondern anhand der Kennung (SID), und die ist per Definition immer eindeutig. Punkt. Die Kennung hängt in keiner Weise mit der Verbindung zusammen, sondern nur mit dem anfordernden Browser und dem ausgebenden Server.

Ich habe es jetzt verstanden. Der Browser sendet das Cookie mit der SID. Andere Verbindungsdaten interessieren nicht, weil das gesendete Cookie einzigartig ist.

Du könntest auch auf deinem Rechner parallel einmal mit Firefox und einmal mit Opera zeitgleich auf dieselbe Webseite zugreifen und wirst trotzdem zwei verschiedene Kennungen und damit zwei unabhängige Sitzungen erhalten, für jeden Browser eine eigene.

Das stimmt, weil es zwei verschiedene Browser sind. Wenn Du zweimal mit dem gleichen Browser einloggst, wird, egal ob temporäre oder dauerhafte Sitzungscookies, die erste Sitzung von der zweiten überschrieben. D.h. der erste User hat plötzlich Zugriff auf die Daten des zweiten Nutzers. Hab´s gerade ausprobiert, ist tatsächlich so, wie erwartet.

Für das Szenario: mehrere Leute NACHEINANDER am Rechner, DAUERHAFTE Sitzungscookies müßte also der Name des Cookies variabel sein, oder es ist kein dauerhaftes Eingeloggt sein (ohne Paßworteingabe) möglich. Ich weiß aber nicht, inwieweit das überhaupt geht. Das wäre ja pro Person ein Cookie, und, soweit ich weiß, ist pro Domäne nur ein Cookie erlaubt.