Hm, ok - hier ein paar wohl ganz nützliche Details. Das verwendete System ist das CGI::Application::Plugin::Authorisation, welches im Endeffekt CGI::Session benutzt. Dabei wird ein Keks gesetzt, der die Session-ID beinhaltet. Diese ist bei mir nur für eine Browser-Sitzung gültig, und überwacht auf diesen Cookie.
Wenn man den Keks entschlüsseln möchte benötigt man dieses 'salt' richtig?
Das ist im Idealfall immer (bei jeder Installation) anders, aber gesetz dem Fall, dass Software auch mal nicht von mir installiert wird nicht mehr gewährleistet.

Gibt es noch andere Möglichkeiten an der Session zu schrauben außer über diesen Cookie?