Hi!

Aus dem Grund ist die über 25 Jahre gültige "Session" bei Amazon dennoch bei einem Bestellvorgang mit einem erneuten Login verbunden - eingeloggt bleiben gibts da einfach nicht.

Richtig. Es dient lediglich zur Erkennung um bestimmte Dinge anzuzeigen. Als Angreifer mit dieser ID, wuesste man dann was der User sich zuletzt angeschaut hat und was Amazon glaubt, wofuer er sich interessiert. Alle sensitiven Bereiche erfordern immer noch eine Anmeldung.

Dabei ist es ja voellig egal wie das realisiert ist. Eine normale Session kann lediglich enthalten, wann der letzte Seitenaufruf war. Abhaengig davon gilt der User noch als eingeloggt oder es wird eine neue Authentifizierung gefordert. Welche Gefahr sollte da von einer 3 Monate lebenden Session ausgehen?