Salü
Je nach dem, wie die Session für ASP implementiert ist, werden dafür ebenfalls Cookies verwendet, das Auslesen und Verwalten der Cookies wird Dir aber in diesem Fall durch den Server abgenommen. Grundlegend verschieden sind diese zwei Varianten daher nicht. Möglichweise bietet Dir die Session aber ein Fallback-Szenario, für den Fall, dass der Browser Cookies nicht akzeptiert (vielleicht auch auf IP-Basis). In diesem Fall wäre die Session etwas zuverlässiger.
Zur IP-Variante ist zusätzlich zu erwähnen, dass verschiedene Rechner, die über denselben Gateway kommen oder denselben Proxy verwenden auch die gleiche IP haben können. Du kannst Sie also nicht eindeutig identifizieren.
Jedenfalls bist Du in keinem Fall auf der sicheren Seite, da Cookies gelöscht werden und IPs ändern oder für verschiedenen Rechner gleich sein können.
Falls du Benutzerdaten und Passwörter hast, könntest Du es über HTTPBasicAuth lösen, damit sich der User bei jedem Request identifizieren muss. Da diese Daten aber im Klartext übetragen werden, wäre es nett, wenn die Leitung verschlüsselt wäre (SSL).
Der Letzte Abschnitt war nur zu Abrundung der Übersicht - ich gehe mal davon aus, dass Du über keine solche Daten verfügst.
Abschliessend: Wenn Du die Gültigkeitsdauer einer Session in ASP definieren kannst, würde ich die Session wählen. Wenn nicht, wäre das Cookie mit längerer Gültigkeitsdauer zu empfehlen, da der Benutzer sonst nur seinen Browser zu schliessen und neu zu öffnen braucht um nicht mehr idenfiziert zu werden. Wenn es Dir egal ist, dass Du potentiell Benutzer aussperrst, kannst Du auch die Cookie und die IP-Variante kombinieren.
Gruss
Simon
als Antwort auf: [#105293]