Hallo,

ich nutze dieses Konzept (ist verbreitet):

1. Beim Einloggen werden in einer DB die SessionID (Zufallsgenerator), die IP des Users und die Loginzeit vermerkt.

2. Ich übergebe den Seiten wie von Dir beschrieben die SessionID, überprüfe aber beim Aufruf der Folgeseite immer zuerst ob die SessionID mit der IP übereinstimmen und ein evtl. Timeout noch nicht abgelaufen ist.

Damit geht es eigentlich ganz gut. Ich schlage Dir noch vor die Daten per Post zu übermitteln, da dies etwas diskreter ist.

Gruß Jan