Moin!

Wobei gerade die Uebergabe per GET den Session-"Diebstahl" ggf. etwas einfacher fuer Angreifer macht.
Das ist aber auch dann der Fall, wenn man "nur Cookies" verwendet, und für den Fall, dass die abgelehnt werden, sich eine Alternative ausdenken muss.

aus dem grund sollte man sich nicht auf das vorhandensein eines session-cookies oder ähnlichem verlassen sondern immer das session-cookie gegen werte, die am server hinterlegt wurden (zb in einer session-datenbank), gegenprüfen (sofern dies die session-routine des webservers bzw der scriptesprache nicht ohnehin schon tut)

Das ist schlechterdings unmöglich.

geeignet ist zb eine kombination aus ip-adresse und der hostname des benutzers

Nein. Die IP-Adresse ist nicht konstant, und der ermittelbare Hostname des Users entspricht seiner IP-Adresse, weil genau diese als Basis für die Hostnamenermittlung herangezogen wird.

der verwendete user-agent,

Das könnte man einigermaßen als Konstante annehmen, allerdings: Was bringt es, wenn z.B. Firefox 3.0.3 massenhaft in Umlauf ist und deshalb auch massenhaft identische User-Agent-Strings benutzt werden - auch von bösen Angreifern. Wirklich individuelle Werte darf man hier nicht erwarten, das wäre extremer Zufall.

der port

Der wechselt potentiell bei jedem Request - noch häufiger, als die IP-Adresse es tut.

das ist zwar auch noch kein 100%iger garant dafür, dass jemand die session eines anderen geklaut hat,

Stimmt. Es ist absolut untauglich für sowas, weil es schon das normale Funktionieren der Session behindert.

aber  es verhindert zumindest, dass jemand einem anderen benutzer einen link inkl. session-id schickt und ihm somit "uneingeschränkten zugriff" ermöglicht

Sowas wird effektiv dadurch verhindert, dass man Cookies zwingend vorschreibt.

- Sven Rautenberg