Wenn die Session-ID in der URL steht, taucht die ID überall dort auf, wo die URL dieser Seite auftaucht. Auf externen Servern also als Referrer in den Logs.

Ich habe die Stelle auf der PHP-Seite wiedergefunden, an der ich mal darüber gelesen hatte: http://de3.php.net/manual/de/ref.session.php#session.idpassing
Dort steht doch:
"Anmerkung:  Bei nichtrelativen URLs wird davon ausgegangen, dass sie auf externe Seiten zeigen und deshalb keine SID angehängt, weil es ein Sicherheitsrisiko wäre, die SID an einen anderen Server zu übermitteln."

Also sind externe Links doch keine Gefahr!?

Wie ist es bei Bildern, erscheint in den Access-Logs die Session-ID in der Referer-URL?

Aber klar doch.

Wird nicht auch dort die SID automatisch gestrichen?

Danke auch für die weiteren Hinweise von dir!

Grüße, Uwe.