Moin!

Sorry, das sagen zu müssen, aber alles, was du geschrieben hast, ist technischer Unsinn.

Erm Sessions werden üblicherweise in Cookies gespeichert...

Nur die Session-ID wird in einem Cookie gespeichert (alternativ wird die ID per URL-Parameter weitergereicht).

alternativ (hab' ich auch mal gemacht) kann man die "Session" (IP, User-Id, Passwort, Ablaufzeit) auch in einer Datenbank speichern.

Das Speichern der Session-Daten geschieht standardmäßig in Textdateien, das kann man durch eigene Funktionen beliebig ändern - auch in Datenbanken.

Die von dir genannten Daten sind allerdings nicht standardmäßig in den Session-Daten enthalten. $_SESSION ist initial leer.

Identifiziert wird man dann via IP.

Das ist unsinnig. IPs identifizieren keine User, IPs können sich während des Surfens für jeden Request ändern. Dazu muß man einfach nur z.B. die Proxyfarm von AOL nutzen.

Macht aber eigentlich nur Sinn, wenn man den Benutzern "anbieten" möchte Cookies zu deaktivieren, denn sonderlich sicher ist das nicht.

Das Aktivieren oder Deaktivieren von Cookies und die Konsequenz daraus hat nichts mit der Art der Speicherung der Sessiondaten oder der vermeintlichen "Identifizierung der IP" zu tun.

Ansonsten gilt: SSL benutzen fall möglich!

Die Nutzung von SSL macht ein System nicht automatisch sicher. Es verhindert nur, dass auf der Übermittlungsstrecke jemand lauschen kann. Fehler im Loginsystem wären trotzdem ausnutzbar.

- Sven Rautenberg