Hello,

Besser ist es tatsächlich, verschlüsselt zu arbeiten und ein zweites Credential mitzuführen (Extra-Cookie). Dann kann man, auch wenn eine Session zufällig|absichtlich getroffen wird, immer noch erkennen, dass etwas nicht stimmt.

Ähm. Das macht doch aber der SANITY-KEY. der ist doch eben gerade dazu da, um ein versehentliches Treffen einer Session mit verschiedenen Werten abzugleichen und dann zu entscheiden ob tatsächlich der einstige Sessionnutzer am anderen Ende sitzt.

Der Begriff hat mir nicht gleich etwas gesagt. Bei mir heißt der immer "Fingerprint". Aber im Prinzip ist das ja schon so etwas ähnliches, nur dass er doch noch erheblich leichter erratbar ist, als eine Zufallszeichenfolge.

Wie baust Du den und welchen Teil davon sendest Du wie dem Client?

Liebe Grüße
Tom S.