Hi Dennis,

»» Wenn ich jetzt nicht einen groben Denkfehler habe ist dieses Szenario möglich?

Ja, aber: Wie kommt User-B (Angreifer) an das Session-Cookie bzw. die Session-ID von User-A?

da fallen mir auf Anhieb einige Möglichkeiten ein, der Internetcafe Betreiber/Angestellte, der Kollege in der Firma der angeblich nur mal eben etwas am Rechner nachschauen will, Remotecontrol.....

Um dies zu verhindern solltest du immer session_regenerate_id() verwenden

Ja so ähnlich sah auch eine Lösung bei mir aus, hat aber den Nachteil, dass bei Inaktivität von User-A, weil eben zb. zu viel zu lesen auf einer Seite, User-B genügend Zeit hat zu übernehmen.

* Durch Sniffen des Netzwerktraffics
   Verwende HTTPS statt HTTP

Muss leider zugeben, dass ich keine Ahnung von HTTPS habe, habe es bisher bewusst vermieden wegen diesem Sicherheitszertifikat, das der User dann immer akzeptieren muss.

Aber wenn du mir sagst, dass dann eine solche Übernahme nicht stattfinden kann(?), beschäftige ich mich sofort damit.

Mike