2. Ich übergebe den Seiten wie von Dir beschrieben die SessionID, überprüfe aber beim Aufruf der Folgeseite immer zuerst ob die SessionID mit der IP übereinstimmen und ein evtl. Timeout noch nicht abgelaufen ist.

Funktioniert dann aber nicht mir Proxies!

Na, ja - funktionieren schon, es ist nur so das Leute die über den selben Proxie gehen einfach eine andere Session übernehmen können. Ist aber nicht so tragisch. (Meine ich.) Einloggen können sich ja trotz gleicher IP mehrere Leute.

Eine Alternative bieten hier sicherlich Cookies, die mag ich aber nicht.

Damit geht es eigentlich ganz gut. Ich schlage Dir noch vor die Daten per Post zu übermitteln, da dies etwas diskreter ist.
Heißt das, du rufst jede Seite mit einem hidden-Formular auf?

Ja, so ist es - war bei mir bisher immer gut machbar.

Gruß Jan