Hallo,

Macht das wirklich einen Unterschied, ob die Session-ID als Cookie oder als GET-/POST-Parameter übetragen wird?

Ja, es macht einen Unterschied. Siehe z.B. Session Fixation.

Im Endeffekt steht sie doch generell irgendwie im Request drin oder?

Ja, aber sie sollte nicht in der URL stehen.

Dem zur Folge wäre doch die eigentliche effektive (mit bösen Nebeneffekten) Methode nach jedem Request eine neue Session-ID zu generieren oder?

Was sollte das bringen? Wenn ich eine Session-ID habe, kann ich so die nächste bekommen.

Mathias