hi,

Und wer hat einen Nachteil davon, dass jemand seine Session-ID mutwillig erratbar macht? Noch jemand anderes als derjenige selbst? Der könnte auch seine Zugangsdaten weitergeben, was aufs Gleiche rauskommt und nicht mal vom Betreiber verhindert werden kann.

Es gibt viel Geschriebenes über die Beschaffenheit einer SessionID. Es wäre schade ums Papier und um die Mühe derjenigen, die darüber schreiben, wenn Du das nicht ernst nimmst. Wer ein Framework baut, was eine SessionID=1 ermöglicht, kann sich derartige Lektüre ersparen und sich fürder dem Kartenspielen widmen.

Das offizielle ChangeLog kennt alle Änderungen.

Mein Handlungsbedarf besteht jetzt darin, dafür zu sorgen, dass eine SID nur dann gültig ist, wenn sie serverseitig erzeugt und nicht etwa vom UA vorgegeben wurde. Das vereinfacht auch die Prüfung.

Hotti