Moin

Das gilt immer nur für den GC des aktuellen Script, nicht für die GCs der anderen Scripts, die in dasselbe Verzeichnis ihre Daten ablegen. Session-Dateien sind Session-Dateien, die werden nicht nach Anwendung oder gar Scriptnamen unterschieden.

Ich möchte das ein User nach 60 Minuten inaktivität automatisch ausgeloggt wird.

Ganz schön lang im Verhältnis zu den anderen "Paranoia"-Werten.

Naja, es sollen uploads möglich sein, die auch schonmal länger dauern können

Dann kannst du beruhigt session_regenerate_id(true) verwenden, denn alles andere darf dann nicht funktionieren. Gegen das versehentliche Doppelklicken hilft, wie gesagt, Javascript. Zwei Tabs dürfen dann einfach nicht sein.

Leider gibt es hier das Problem des DAU. Und auf solch einen bin ich bei meinem Kunden gestossen. Es soll sicher sein und doch 2 Tabs gleichzeitig geöffnet, oder auch 3 oder 4

Hast du einen guten Grund für diesen Aufwand, der sich nicht mit der Erlaubnis eines zweiten Tabs beißt?
Verhinderung von SESSION-HiJacking

Das ist mir zu allgemein formuliert. Je nachdem, was man mit einer gehijackten Session für Schaden anrichten kann oder auch nicht, sollte man das Paranoia-Level ausrichten. Zu viel des Guten ist auch ungesund.

Na gut. Es ist sicherlich ganz schön viel "Sicherheit". Teile der eingegebenen Daten sind direkt auf der Seite (natürlich unter Beachtung diverser Sicherheitsmaßnahmen) zu sehen. Außerdem sind persönliche Daten in den Profilen hinterlegt. Und hier soll ein "Diebstahl" der Idendität eben ausgeschlossen werden.

Kann ich nicht irgendwie sagen, wenn die neue Session erfolgreich war, dass die alte Session-Datei gelöscht wird? Ich habe schon versucht ein 2. Zeitverzögertes session_regenerate_id(TRUE) zu setzen. Das Ergebnis bleibt das gleiche. Leider.

Gruß Bobby