Hi Mike,

Wenn ich jetzt nicht einen groben Denkfehler habe ist dieses Szenario möglich?

Ja, aber: Wie kommt User-B (Angreifer) an das Session-Cookie bzw. die Session-ID von User-A?

Dafür fallen mir spontan zwei Möglichkeiten ein:

* Session Fixation
   Die Session-ID wird vom Angreifer festgelegt, indem dieser seinem Opfer z.B.
   einen manipulierten Link unterschiebt, der bereits eine Session-ID enthält.
   Um dies zu verhindern solltest du immer session_regenerate_id() verwenden
   wenn der User andere oder mehr Rechte erhält, in deinem Fall also beim Login.

* Durch Sniffen des Netzwerktraffics
   Verwende HTTPS statt HTTP

Viele Grüße,
  ~ Dennis.