Macht das wirklich einen Unterschied, ob die Session-ID als Cookie oder als GET-/POST-Parameter übetragen wird?
Ja, es macht einen Unterschied. Siehe z.B. Session Fixation.

Ahh, den Begriff hab ich irgendwie überlesen :s

Dem zur Folge wäre doch die eigentliche effektive (mit bösen Nebeneffekten) Methode nach jedem Request eine neue Session-ID zu generieren oder?
Was sollte das bringen? Wenn ich eine Session-ID habe, kann ich so die nächste bekommen.

In meinem anderen Post hab ich schon geschrieben, was mein Gedankengang war.

MfG
bubble