Ich Mache es ähnlich. Ich verwende die Session einmal in der URI und einmal als Cookie. Userdaten stehen bei mir fast nie im Zusammenhang mit dem Cookie, welches auch einwegverschlüsselt ist. Naja OK zur eingeutigen generierung der SessionID bediene ich mich gerne der Zeit und der IP-Adresse. Das ist aber das einzige was in Zusammenhang mit dem Client und der Session ID steht.
Ich lagere halt die SessionID nur in Cookies aus, damit, falls aktiviert, der Kompfort genutzt werden kann, ein weiteres lästiges, das ist allerdings zeitlich limitiert, nicht wie hier im Board, uhi sind das viele Kommas, Einloggen nicht unbedingt nötig ist.
Wow schwerer satz.
Edit: was jetzt allerdings sicherer ist, kann ich dir nicht genau sagen, da ich micht noch nicht sehr mit cracken von servern bzw. Sessions beschäftigt habe. Aber ich denke mit etwas menschlichen Verstand und Bezug zur Logik, kann man ein relativ sicheres Verfahren hinbekommen.
Ich bin außerdem der Meinung, dass es wahrscheinlicher ist, dass solche "wichtigen" Daten eher mit einer Diskette direkt am Server geklaut werden, als dass sich jemand tagelang mit dem Knacken der SessionID beschäftigt.
Gruß Alex\n\n
<!--EDIT|format_c|1086463533-->