Mir ist bekannt, daß "session.use_only_cookies" erst seit Version 4.3.0 unterstützt wird. Und auch, daß "use_trans_sid" dadurch nicht automatisch übergangen wird.

Mein Problem ist ja aber nicht, daß PHP selber eine Session-ID an die URLs hängt, sondern daß es immer noch die Übergabe der ID per GET _akzeptiert_!

Wie auch aus der Dokumentation hervorgeht, soll "session.use_only_cookies" aber genau dieses Verhalten unterbinden:

This option enables administrators to make their users invulnerable to attacks which involve passing session ids in URLs

und

session.use_only_cookies spezifiziert, ob das Modul _nur_ Cookies verwendet, um die SID clientseitig zu speichern.

Hat noch jemand weitere Ideen, wie sich das Problem in den Griff kriegen läßt?

-- Wolfgang