Und das problem mit dem referer lässt sich nun wirklich gut umgehen.

Kanst Du mal erklären wie ?

Ich grübele nämlich auch schon geraume Zeit am problem einer wirklich sicheren Session-ID.

Verschlüssel doch einfach den Timestamp (z.B. mit MD5) und leg' eine Verfallsdauer fest!

Reiner