Moin!

Es gibt "auf dem Server" keine Session-ID, die du mit der des Clients vergleichen könntest. Jedenfalls nicht sinnvoll. Denn der Server nimmt exakt die Session-ID, die der Client ihm liefert. Denn das ist das eindeutige Identifikationsmerkmal, an dem ein Client wiedererkannt wird.

Und wie verhindert man dann manipulation durch gefälschte, erratene oder was auch immer SIDs?

Das kann man nicht verhindern. Allerdings ist der Wertebereich denkbarer SIDs so riesig groß, dass mit Raten keine Möglichkeit zum Erfolg besteht.

Lediglich wenn man Kommunikation belauschen kann, sieht man die SID. Dann muß man aber nicht raten - und dann hat man natürlich noch ganz Möglichkeiten.

- Sven Rautenberg