Hallo Hans,

Wenn jetzt ein anderer User am anderen Rechner diese Session wüsste und sie manuell an den Dateinamen hängen würde, wäre er dann (sofern die Session noch nicht verfallen ist) als der erste USer ingeloggt?

Ja. Deswegen lässt man die Session a) recht schnell verfallen und b) verwendet man einen möglichst großen Wertebereich für Session-IDs. (damit das erraten schwer fällt) Warum glaubst Du wohl, werden die nicht von 0 hochgezählt? ;-)

Theoretisch gesehen ist so etwas möglich und nennt sich "session hijacking". Meistens wird die Session-ID dabei jedoch nicht erraten, sondern irgendwoher bekommen. (Logfiles mit Referer, nicht geschlossene Browserfenster an öffentlichen Terminals, etc.)

Viele Grüße,
Christian