Hallo,

Sicherheit ist eine Illusion - der Trick besteht darin, sie jenen Leuten
glaubhaft zu machen, die ihr wirklich gefährlich werden können.

Bei Session-IDs hilft lediglich eine genügend lange ID, die von einem
ausreichend zufälligen Zufallszahlengenerator erzeugt wurde und die niemals
unverschlüsselt übertragen werden sollte (https).

Darüber hinaus kann man die Session-ID intern an die IP und/oder andere vom
Browser übergebenen Werte zu koppeln; eine entsprechende Validitätskontrolle
verhindert zumindest solche Angriffe, bei denen der Angreifer kein
entsprechendes Spoofing verwendet.

Gruß, LX