Zwei bemerkungen:

• die Session ID kann als Cookie gehalten, und per POST von Client zum Server gesendet werden. Du kannst aber auch die SID per GET (als mit "Fragenzeichenparameter" hinter der URI) zum Server schicken. Cookies sind also mehr oder weniger belangslos.

• Am wichtigsten ist, am Ende einer Session diese auf _explizit_ zu beenden!!!!!!