Bei einer Sicherheitsüberprüfung unserer Internetseite wurde bemängelt, dass die Session ID unnötigerweise den Benutzernamen enthält und auch zu einem anderen Zeitpunkt von einem Angreifer verwendet werden kann.
Die relevante Passage aus dem Bericht liegt als Anlage bei.
Ich bin mir nicht sicher, ob ich vielleicht einen Fehler in der Konfiguration gemacht habe.