Hello,

logge ich mich einfach erneut ein und deine ganze arbeit war umsonst, weil ich wieder eine ganz neue Session-ID erzeuge und dich damit aussperre.

Wie wird das erreicht? Wo ist festgelegt, dass pro User nur eine Session möglich ist und beim Login alle vorherigen Sessions des Users gelöscht werden?

Das wird in der Spezifikation für die Anwendung festgelegt und der Programmierer hat diese dann umzusetzen ;-P

Und auch wenn mehrere Sessions parallel geführt werden können, gilt eben die Aussage von MB für jede dieser Sessions parallel und gleichzeitig :-)

PHP hat standardmäßig keine solche Begrenzung, soweit ich weiß.

Wenn Du Session per Cookie betreibst, wird es aber schon verflixt schwer, die unterschiedlichen Sessions voneinander zu trennen. Das Problem liegt mMn beim Client: Wieviele Parameter darf eine Cookiedatei aufnehmen pro Domain?

Die meisten Systeme haben keine derartige Begrenzung. Sie lassen es vielmehr explizit zu, damit man mit mehreren Browsern und Geräten eingeloggt sein kann.

Das ist eine Frage der Spezifikation.
Bei der requestbasierten Rechteprüfung (empfohlen!) entfällt diese Möglichkeit von alleine, da sich die Rechte-Requests in den Userdaten konsolidieren und nicht in den Sessions.

Ergo: Der Angreifer kann mit der alten Session weiter arbeiten, der User erstellt sich eine neue, zweite.

Das hängt, wie schon mehrfach erwähnt, ausschließlich von der Spezifikation der Anwendung und dem gewählten Anmelde-Verfahren ab, nicht aber zwingend von PHP oder Perl oder, oder, oder.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg