Ja - wenn die Session-ID in der URL übertragen wird.

Wird denn die Session-ID unter PHP (wenn das automatische Anhängen dieser an Links auf der Seite aktiviert ist) in der URL übertragen? Oder wird die Session-ID bei externen Links automatisch nicht angehängt?

Wenn die Session-ID in der URL steht, taucht die ID überall dort auf, wo die URL dieser Seite auftaucht. Auf externen Servern also als Referrer in den Logs.

Wie ist es bei Bildern, erscheint in den Access-Logs die Session-ID in der Referer-URL?

Aber klar doch.

Jede Menge, die noch weit über die Verschleppung der Session-ID hinausgehen.

Kannst du mir die wesentlichsten davon nennen?

Es gibt sicherlich viele Szenarien, die aber alle abhängen von der Art der Möglichkeiten, die man anbietet.

Das einbinden von Bildern auf externen Servern generiert üblicherweise dort "nur" Referrer. Bei Browsern mit angreifbarer Bildimplementation aber öffnet sich eine riesige Sicherheitslücke, über die möglicherweise weitere Daten ausspioniert werden können. Oder man macht es so wie der IE, der auch Javascript, was unter einer Bild-URL als Bild mit <img> eingebunden wird, ausführt - schon hat man wohlmöglich das schönste Cross Site Scripting.

Im Grunde genommen kannst du dir alle Detailproblembetrachtungen schenken, wenn du einen pessimistischen Ansatz wählst: Willst du als Seitenanbieter die Verantwortung für beliebigen, im Internet angebotenen Content übernehmen? Dann erlaube die aktive Einbindung von Bildern und/oder Links, und kontrolliere regelmäßig mit einem vernünftig eingestellten, topaktuellen Browser.

Andernfalls erlaube keinerlei Einbindung von Bildern, Links und Skripten.