logge ich mich einfach erneut ein und deine ganze arbeit war umsonst, weil ich wieder eine ganz neue Session-ID erzeuge und dich damit aussperre.

Wie wird das erreicht? Wo ist festgelegt, dass pro User nur eine Session möglich ist und beim Login alle vorherigen Sessions des Users gelöscht werden?

PHP hat standardmäßig keine solche Begrenzung, soweit ich weiß.

Die meisten Systeme haben keine derartige Begrenzung. Sie lassen es vielmehr explizit zu, damit man mit mehreren Browsern und Geräten eingeloggt sein kann.

Ergo: Der Angreifer kann mit der alten Session weiter arbeiten, der User erstellt sich eine neue, zweite.

Wenn du in der zwischenzeit das Passwort des betroffenen Kontos ändern konntest, weil es mit einer erratenen Session-ID möglich ist, dann ist das System fehlerhaft.

Davon habe ich auch nicht gesprochen.

Mathias