hi,

mit dem Session-Zeugs wird meistens ein Cookie verwendet, das geht im Prinzip so, Beispiel am Login:

User Pilgrim kriegt ein Formular zum Einloggen und gibt seine Credentials (name, passw) ein. Das kommt am Server an und wird geprüft.

Ist der User authentifiziert, wird serverseitig ein zufälliger String erzeugt, der idealerweise einmalig ist, das ist der sog. Session-key (SK). Der SK wird nun einmal serverseitig gespeichert und mit der Antwortseite an Pilgrim wird ein Cookie mit dem SK geschickt, Pilgrims Browser speichert den SK somit auf der Festplatte.

Damit ist die Session established. Alles was Pilgrim nun nach dem Login macht (Daten löschen, Daten verändern, Daten hinzufügen...) ist eine Interaktion zwischen dem Browser und dem Server wo nur noch geprüft wird, ob der Key, der mit dem Cookie vom Browser mitkommt, in der Datenbank auf dem Server vorhanden ist und mit diesem übereinstimmt.

Session-Klau: Susa kommt irgendwie an Pilgrims Rechner, die Sitzung ist noch offen und so kann Susa den SK aus dem Cookie lesen. Susa könnte den Key nun nehmen und damit Mist machen... Hieran wird bereits deutlich, dass ein einzelner SK nicht reicht um einem solchen, ansich banalen Unfall vorzubeugen. Es gibt jedoch weitere Möglichkeiten, Interesse?

Hotte