Hallo,

Spontan würde mir aber als weg einfallen, User Agent und Remote Address in der Session zu speichern und bei jedem Request zu vergleichen

Ein User ist nicht eindeutig einer IP-Adresse zuzuordnen. Eine Session ist nicht einmal eindeutig einem User-Agent zuzuordnen.

Wie mrjerk sagt, das sind höchstens *zusätzliche* Absicherungen. Zusätzlich zu Session-Cookies. Sie beheben nicht die Probleme von Session-IDs in URLs!

Wobei trotzdem ein Restrisiko bleiben würde, dass wenn man die gleiche Remote-Adrese (z.B. durch einen Proxy) und den gleichen UA hat.

Das ist kein »Restrisiko«, sondern gang und gäbe. Der UA ist zudem einfach fälschbar.

Wenn es um Sicherheit geht, sollte man nicht versuchen, etwas eigenes zu erfinden, es sei denn, man hat sich intensiv mit vorhandenen Lösungen auseinandergesetzt. Sonst kommt etwas heraus, das tausendmal unsicherer ist als bewährte Lösungen.

Mathias