Ich erzwinge Sessions per Cookie [...]

Zum eigentlichen Thema kann ich nicht viel sagen, da ich eher Halbwissen/Vermutungen hab als alles andere.

Aber ich habe mal eine Frage:

Mir ist nach und nach aufgefallen, dass wenn es um Sessions und Sicherheit geht, dass meist im Startpost erwähnt wird, dass die Session-ID als Cookie gespeichert ist.

Macht das wirklich einen Unterschied, ob die Session-ID als Cookie oder als GET-/POST-Parameter übetragen wird? Im Endeffekt steht sie doch generell irgendwie im Request drin oder?

Dem zur Folge wäre doch die eigentliche effektive (mit bösen Nebeneffekten) Methode nach jedem Request eine neue Session-ID zu generieren oder? (Unter paranoider Betrachtung wäre ja noch nicht mal das 100% sicher)

MfG
bubble