hi,

Meine Frage lautet gerade nun, da ich mich noch nicht mit Tomcat befasst habe und nicht genau weiß, die wie SessionID-Verwaltung abläuft, ob man generell SessionID's faken kann, da der User die SessionID ja über die Adresszeile sieht, bzw. über die Verlinkunen mitgenommen werden.

Wenn's doof programmiert ist ja. heise hat mal über sowas geschrieben und auch darüber, dass es User gibt, die Links verschicken, mit Session-Ids drinne.

Will meinen, das hat primär nichts mit Serversoftware und Programmiersprache zu tun.

Erste Abhelfe: Einen Session-Key nur für den Verlauf einer Browsersitzung gültig zu machen und ein Zeitlimit setzen.

Hotte