Hi,

Will meinen, das hat primär nichts mit Serversoftware und Programmiersprache zu tun.

Erste Abhelfe: Einen Session-Key nur für den Verlauf einer Browsersitzung gültig zu machen und ein Zeitlimit setzen.

Session-Key höre ich jetzt zum ersten Mal. Danke für den Tipp, ich informiere mich die Tage mal diesbezüglich.

Was mir jetzt aber spontan eingefallen ist. Ich speichere in die Session beim Login auch die IP (oder sonst was) von dem User (zusätzlich zum (User-)Objekt), der sich eingeloggt hat. In den nächsten Seiten prüfe ich die Autorisierung, indem ich nicht nur prüfe, ob ein (User-)Objekt in der SessionID ist, sondern hole von der SessionID die IP und hole die aktuelle IP der Anfrage und vergleiche, ob diese identisch sind.

Dafür müsste ich noch die Session-Verwaltung vom Tomcat anschauen. Wie er die SessionID erzeugt, wie er es einem Benutzer zuweist, wo er es speichert/abfrägt, wo und wie die Zusatzinformationen gespeichert werden, die in die Session eingefügt werden. Hoffentlich finde ich da die Tage etwas verständliches (vorallem deutsches :-))

Grüße