Hello,
Um die Sessionsicherheit zu erhöhen, kann man mit jedem Request eine neue Session-ID zuweisen
Geht aber stark zu lasten der Benutzbarkeit. Bringt ja bereits dann Probleme, wenn ein User zwei Tabs parallel laufen lassen will. Uns sei es nur, um kurz nebenbei etwas nachzugucken. Soll es das wert sein? Oder kennt jemand einen Trick beides zu ermöglichen?
Wenn man mit Cookies arbeitet, bereitet das keine Probleme. Denn die neue Session-ID gilt ja nicht für das Fenster/&den Tab, sondern für das Requestziel. Wenn der Cookie also für die Domain gesetzt wird, würde auch der Request aus dem anderen Tab den jeweils aktuellen Cookie verwenden.
Schlecht ist das nur bei Verwendung von transparenter Session-ID, sie ich sowieso nicht empfehlen würde. Dann sollte man die Session schon besser auf HTTP Authentication aufbauen.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg