mit dem klick auf abmelden wird dem browser nur eine aenderung im cookie uebergeben...

somit ist man zwar wenn man die site erneut aufruft nicht angemeldet, steht aber trotzdem als online in der liste wenn die abmeldung noch keine 15 minuten zurueckliegt

das ist normal und bei jeder groesseren site so...

-----

denn....

wozu etwas das sowieso ganz von selbst nach 15 minuten ungueltig wird und KEINER missbrauchen kann serverseitig behandeln ?
eine session serverseitig auf ungueltig zu setzen oder zu loeschen waere ganz klar ressourcenverschwendung


missbrauch ist erst dann moeglich wenn...
der passende gueltige cookie vorhanden UND session-id bekannt
der cookie wird durch die abmeldung unpassend / ungueltig und mit der session-id allein kann man gar nix :P

hoffe dass nun jeder verstanden hat warum das so ist