hi leute,

mal angenommen man stellt seinen surfern bestimmte dienste
auf der website zur verfuegung. unterschiedliche user haben
das recht unterschiedliche dienste zu nutzen - sie werden
anhand einer an das jeweils aufgerufene script angehangenen
session-id indentifiziert.

frage: wie eindeutig kann man user anhand der session-id
       identifizieren?

ich stelle mir z.b. vor eine eindeutige sessionid anhand
der folgenden daten zu generieren: ip|dateTime|laufendeNr

diese SessionID soll dann verschluesselt werden
1. Moeglichkeit: MD5      -> ist aber ireversibel
2. Moeglichkeit: Blowfish (man kann die IP wieder entschluesseln)

Frage: ist es wirklich moeglich, einen surfer eindeutig
zu identifizieren (wenn man nur die IP hat)? ist es
sinnvoll wenigstens die IP zu ueberpruefen, sprich die
sessionID jedesmal zu encrypten und zu schauen, ob der anfrager
wenigstens die gleiche IP hat? -> falls nicht, session loeschen...

was sind eure erfahrungen mit session-ID anhaengseln?

mfg
-falk-

ps: cookies kommen nicht in frage...