…, dass die Session Flöten geht, sobald sich die IP ändert, z.b. weil sich der Router neu ein wählt o.ä.

Das passiert aber im Normalfall auch nur einmal am Tag oder? Also abgesehen von mobilen Geräten.

Also meine Meinung hat sich jetzt quasi so gebildet, dass bevorzugt ein Cookie verwendet wird, wenn nicht verfügbar, dann Parameter + UA/REMOTE_ADDR-Vergleich. Bis auf die 24h-Neuverbindung zum ISP dürfte das eigentlich nur Benutzer mit mobilen Endgeräten stören, die Cookies deaktiviert haben.

Dem könnte man eventuell noch entgegen gehen, in dem man die Session-ID per JavaScript aus jedem Link und Formular "rausschneidet", click- und submit-Eventhandler setzt, die die Standard-Aktion unterbinden und dynamisch den Link mit entsprechendem Parameter für die Session-ID erzeugt und aufruft. (Ob das bei POST oder PUT klappt weiß ich nicht, also ohne AJAX)

Und wenn es dann Mobil-Gerät-Benutzer mit deaktivierten Javascript und ohne Cookies ist, dem kann dann halt keiner mehr helfen bei der minimalen Chance des Hijackings der Session-ID bei gleichem UA/REMOTE_ADDR.

Hab ich jetzt noch irgendwas übersehen?

MfG
bubble