hallo,

danke fuer eure antworten! zusammenfassend und nach studie der angegebenen zusaetzlichen quellen, kann man da zusammenfassend sagen, dass folgendes vorgehen "sicher" waere:

• user loggt sich ein
• user wird gecheckt, falls ok:
  -> sessionid erzeugen aus: login+systime (user980000000)
  -> MD5-verschluesseln = eindeutige SID

diese sessionID wird an die scripts angehangen um den user
zu verifizieren.

• referer und ip werden ausser acht gelassen da man nicht sicher
    sein kann, ob der user diese daten uebermittelt bzw. ob die
    ip nicht dynamisch vergeben wird bzw. ob der user nicht hinter
    einem router sitzt (firmennetzwerk etc.)

• zu erhoehung der sicherheit kann ein cookie geschrieben werden
    das die sessionID enthaelt, per javascript wird geprueft, ob
    die sessionID in ordnung ist (z.b. uebermittelung der cookieSID
    gleichzeitig mit der angehangenen SID und ueberpruefung, ob beide
    identisch sind

was meint ihr dazu? ist das sicher?

mfg
-falk-