Tach!

Na gut. Es ist sicherlich ganz schön viel "Sicherheit".
Kann ich nicht irgendwie sagen, wenn die neue Session erfolgreich war, dass die alte Session-Datei gelöscht wird?

Das Wiedereröffnen der alten Session-Datei dürfte nicht das Problem an sich sein. Da steht immer noch ein PHP-Script dazwischen, das den Zugriff auf die Session-Daten gewährt oder auch nicht (vorausgesetzt, der Angreifer kommt nicht über das Dateisystem ran, aber dann hilft auch kein Session-ID-Handling mehr). Ich würde mir überlegen, ob nicht generell solche Sicherheitsmaßnahmen etwas anwenderfreundlich gelockert werden können und nur bei den kritischen Stellen das Paranoia-Level hochgedreht wird. Wenn der Anwender solche Funktionen ausführt, ist die Session eben weg/regeneriert, auch in anderen Tabs, und ansonsten bleibt sie da. Alternativ könnten diese kritischen Funktionen vielleicht auch über zusätzliche Einmal-Keys abgesichert werden. Oder man muss erneut das Passwort angeben, um auf diese sensiblen Funktionalitäten zugreifen zu können. Oder beides.

dedlfix.