Guten Abend

ich frage mich, welche Möglichkeiten es gibt, Session-IDs zu "klauen".
Ist es z.B. durch Einbinden eines Links auf einen oder eines Bildes von einem anderen Server (z.B. über ein Gästebuch, das HTML erlaubt) innerhalb eines internen Bereichs möglich, die Session-ID auszulesen? Anders gefragt: Wird in den Access-Logs des "anderen Servers" die Session-ID unter dem Referer-Eintrag sichtbar?
Wenn ja, kann das Auslesen der Session-ID durch die Einstellung, dass Session-IDs nur in Cookies und nicht in URLs übergeben werden, verhindert werden?

Welche anderen Gefahren bringt das Einbinden von Links und Bildern mit sich?

Grüße, Uwe.