Session-Hijacking

Gelegentlich sieht man Sessions ja via GET, also direkt in der URL übergeben. Das sieht dann in etwa so aus:
http://www.test.de?usersession=ce08cac76b0b411bd48d104b9f36f5bb

Nun hatte ich heute folgenden Fall:

$person1 googelt nach einem Zimmer, wird fündig, klickt auf den Link und reserviert.
Nun hat Google aber den Link samt Usersession gespeichert und $person1 übernimmt hier die Session von Google.

Nun hat $person2 das gleiche vor, googelt ebenfalls und kommt über den gleichen Link auf die Seite zur Reservierung. $person2 bekommt dann die Daten, welche $person1 ins Formular eingetragen hat, angezeigt.

Ich hatte dies im IE8 und im Chrome-Browser getestet. Funktioniert hat es nur im IE8. Scheinbar gehen die Browser unterschiedlich damit um.

Update
Ursache war ein Fehler im IIS von Microsoft, welcher aus irgendeinem Grund, alte Sessions nicht mehr löschte. Das heißt, der oben gegebene Fall kann zwar auftreten, normal hält die Session aber nicht lange genug, um wirklich nutzbar zu sein.