Hallo,

[...] Antworten im anderen Threat

das musst du missverstanden haben; drohen wollen wir hier niemandem! ;-)

Zusammenfassend muss man dann also sagen, egal wie man mit Sessions arbeitet, dass diese immer anfällig für Manipulationen von Außen sind?

Nein, von außen eben gerade nicht, nur von innen. Session-Daten bleiben auf dem Server gespeichert und sind von außen nicht zugänglich. Die einzige mögliche Manipulation ist, eine falsche Session-ID zu übermitteln. Das führt in den allermeisten Fällen dazu, dass man eine nicht existierende Session adressiert, und das ist ebensogut wie gar keine; und es gibt eine sehr geringe Chance, dass man zufällig eine andere, ebenfalls gerade gültige Session erwischt und so die Daten eines anderen Besuchers sehen und verändern kann.

Betrachte die Session-Daten wie eine Krankenakte, die immer beim Arzt verbleibt und nie herausgegeben wird. Anhand deiner Krankenversicherungs-Nummer ordnet das Praxispersonal die Akte dir als Patient zu, wenn du in der Praxis auftauchst. Kommt nun jemand mit einer gefälschten bzw. erfundenen Nummer an, wird keine Krankenakte gefunden und einfach eine neue angelegt. Dass jemand sich zufällig eine Nummer ausgedacht hat, zu der beim Arzt tatsächlich eine Krankenakte lagert, wäre freilich denkbar, aber sehr unwahrscheinlich.

So long,
 Martin