હેલો

Wie wird das erreicht? Wo ist festgelegt, dass pro User nur eine Session möglich ist und beim Login alle vorherigen Sessions des Users gelöscht werden?

Hast du geschrieben? Du übernimmst das Konto und sperrst den User dadurch aus. Wenn du durch die übernahme den User aussperren kannst, sollte es doch auch andersherum gehen?

Ergo: Der Angreifer kann mit der alten Session weiter arbeiten, der User erstellt sich eine neue, zweite.

Das ist doch auch der fall, wenn du eine konstante Session-ID hast, statt eine ständig wechselnde. Wo ist der Vorteil, wenn ich eine feste Session-ID nutze?

Ich kann nicht ganz nachvollziehen, wie du jemanden durch die Session-übernahme aussperren kannst?

બાય