Hi,

mich würde mal interessieren, wie man mittlerweile einen sicheren Memberbereich erstellt.

Mittlerweile? Anders, als wann? Vor allem, in welchem Umfeld?

Bis jetzt habe ich immer die session-id im Cookie gespeichert.

Du oder der Browser?

Allerdings halte ich diese Lösung eher für suboptimal.

Warum?

Ich möchte kein fertiges Script, sondern würde mich sehr über eine Lösung in Stichworten freuen.

Da wuesste ich wohl spontan nichts, was du hoeren willst...

Wenn Du natuerlich ein besseres Verfahren zur Verifizierung von Usern suchst gibt es da (schon ne ganze Weile) diverse Moeglichkeiten, die aber alle ueber eine einfache Client-Serververbindung hinausgehen.

Angenommen, du betreust eine Firma auf deren Intranet auch Mitarbeiter von ausserhalb zugreifen muessen. Dann nimmt man haeufig Token. Das sind kleine Geraete die an User gebunden sind und Codes generieren. Fuer normale Webseiten oder kleine Unternehmen ist das aber ein unmoeglicher Mehraufwand. Blizzard bietet die Dinger z.B. jetzt fuer WoW an. Man kauft ein Token, verbindet das mit einem Konto und kann sich ab da nur an diesem Konto anmelden, wenn man die vom Token generierten codes beim Anmelden eingibt.
Vorteil: Ohne Token kein Anmelden.
Nachteil: Ohne Token kein Anmelden.
:)

Ohne extra Hardware oder doppelte Verbindungen wirds schwierig.