Dem zur Folge wäre doch die eigentliche effektive (mit bösen Nebeneffekten) Methode nach jedem Request eine neue Session-ID zu generieren oder?
Was sollte das denn bringen? Wenn jemand mitliest,ist es völlig egal ob die Session bleibt oder sie 10mal in der Sekunden wechselt, gekapert wird die immer.

Naja, das war mein Gedankengang:
Bei jedem Request, bedeutet ja quasi, wenn der Angreifer zb. via Bruteforce doch mal eine gültige ID gefunden hat, die Seite aufruft und eine neue Session-ID bekommt. Wenn der eigentliche Benutzer dann aber auf einen Link klickt oder irgendwie sonst ein Request verursacht, wird er wohl ein Login-Formular zu Gesicht bekommen, sich neu einloggen, damit ist die gekaperte Session-ID auch wieder hinfällig und der Angreifer/sein Programm würde nur noch das Login-Formular zu Gesicht bekommen und müsste erneut mit Bruteforce auf die Suche gehen. Quasi hat der Angreifer nur die Zeit sein eigenes Ziel zu verfolgen, während der ursprüngliche Besitzer nichts tut bzw. noch nicht neu eingeloggt hat.

Trifft natürlich nur zu solange wie der Angreifer nur raten kann, wenn er allerdings die Session-ID direkt vom eigentlichen Benutzer kommt, kann man da gegen als Seitenbetreiber eh nichts mehr machen.

MfG
bubble