Meine Herren!

Was ist euerer Meinung nach besser? Oder habt ihr eine komplett-andere Herangehensweise?

Die Session-ID in der URL mitzuschleifen ist eine ganze schlechte Idee, das ebnet alle Wege für Session-Hijacking. Der Nutzer muss nur einmal den Link aus der Adresszeile kopieren und in einem Forum teilen und schon nehmen alle Nutzer, die dem Link folgen, an der selben Session teil.

Es gibt doch im Wesentlichen zwei Gründe dafür Cookies zu deaktivieren:

1. Man möchte zustandslos, also ohne Sessions, unterwegs sein. Dann erübrigt sich die Problemstellung automatisch.

2. Man hat Sicherheitsbedenken. In dem Fall stünde die Lösung über die URL völlig im Gegensatz zur Intention des Nutzers (aus eben oben genannten Grund).

Oder habe ich da einen Fall vergessen?