Lieber Sven Rautenberg,

In der Regel will man die Session-ID bestmöglich vor unerlaubtem Zugriff durch Dritte schützen

ja, das will man. Aber seinen Willen bekommt man nicht immer erfüllt...

deshalb wird eine Webapplikation ausschließlich Cookies benutzen

Damit sperrst Du User aus, bei denen Cookies (aus welchen Gründen auch immer) gesperrt sind.

und diese auch HTTP-only und (bei SSL) secure setzen.

Was machen denn die Freehoster mit ihren Webmail-Interfaces? Setzen die allesamt zwingend auf Cookies? Bei GMX habe ich nicht den Eindruck! Und was machst Du, wenn ich in einem zweiten Browserfenster mit einer anderen Identität dieselbe Webapplikation nutzen möchte? Da spuckt mir dann das Cookie gehörig in die Suppe!

Du hast in einem Punkt absolut Recht: Wenn die Session-ID im URI steht, kann sie wesentlich leichter "entführt" werden, insbesondere, wenn sich der User nicht korrekt abmeldet. In diesem Falle könnte ein pöhser Pube aus der History eine Seite aufrufen und dann mit der Applikation gemeine Sachen anstellen.

Liebe Grüße,

Felix Riesterer.