Autor mě asi začne považovat za kverulanta, ale nemůžu si pomoct :) V čem je zasílání session_id bezpečnější přes cookies než GET či POST? Pominu-li možnost, že si někdo ten dlouhý náhodný řetězec může přečíst z URL z location baru, je zasílání oběma způsoby v podstatě identické, pouze je ta informace umístěna trochu jinde v HTTP hlavičce.

Šak, právě v tom. Uživatelé taky mohou s URL používat různé kejkle (kopírovat, posílat v mailu apod.) aniž by je napadlo, že tím snižují bezpečnost. URL se rovněž mohou logovat nebo dolovat pomocí referer. S cookies přece jen takové věci jdou obtížněji.

Jinak samozřejmě v hlavičce odpovědi je cookie, takže vyvěštit ID session z cookie je pro čmuchala asi tak stejně náročné jako z URL.

Ma vobec zmysel bavit sa o tom, akou formou posielat session_id? Ako uz spravne podotkol p. Houstek, je to skoro to iste.
Podla mna by bolo uzitocnejsie zaoberat sa technikami obrany voci session hijackingu. A tato tema by si rozhodne zasluzila aj zopar samostatnych casti sarialu.

Tento díl seriálu se zabýval nastavením PHP. Ale pokud se někdo zamýšlí nad tím, jakou formou posílat ID session, tak to pro něj asi smysl má, ne?

Například pro mě rozhodně MÁ smysl vědět, že se nepřihlásím na Linuxsoft, pokud nebudu mít nastavené cookies. Pro administrátora tohoto webu zase musí mít smysl se touto otázkou zabývat, protože to tak nastavil.

Pokud byste chtěl napsat článek (články) o obraně vůči session hijackingu, spojte se s redakcí. Třeba budou mít zájem.