Hi Sven,

Ganz schlechte Idee. Cookies bleiben gerne mal
liegen, werden ausspioniert etc... naja, auch wenns
nicht ganz so krass ist: Username und Passwort
würden auf diese Weise immer wieder übermittelt -
viel Angriffsfläche.

wieso denn das? Wer wird denn das Passwort in den Cookie hinein schreiben?

In den Cookie schreibt man eine Session-Nummer, die serverseitig vergeben und gespeichert wird.
Bei jedem Zugriff kann der Cookie dann nicht nur auf Existenz geprüft, sondern auch sein Inhalt validiert werden - und das ohne Passwort. Auf diese Weise kann man insbesondere auch paralleles Login derselben Benutzerkennung erkennen und verhindern, wenn man will. Man tut einfach genau das, was eine Session-Verwaltung von PHP auch tut.

Diese Art der Cookie-Verwendung ist gerade sicherheitstechnisch deutlich besser als die ansonsten gerne bemühte Server Authentication - _die_ sendet nämlich wirklich Benutzername und Passwort bei jedem Zugriff (und das zudem auch noch unverschlüsselt, denn wer kann es sich schon leisten, "AuthType Digest" zu nehmen und Netscape 6 auszuschließen?).

Deshalb löse das besser über Sessions (PHP bietet
wirklich simple Funktionen dafür, die toll
funktionieren).

PHP transportiert seine Session-Informationen allerdings vermutlich im URL und deshalb sind diese Informationen nicht nur in allen Logs, sondern vor allem auch in Referer-Headern enthalten!
Nichts von beidem ist der Fall, wenn Cookies eingesetzt werden.

Ja, ich weiß, daß manche Leute Cookies nicht mögen - aber technisch gesehen sind sie für diesen Fall wirklich der beste verfügbare Mechanismus, sofern sie von der Aufgabenstellung nicht grundsätzlich ausgeschlossen wurden.

Cookies erlaube ich selbst nämlich meist nie, wenn
ich auf eine Seite komme.

Würdest Du auch so argumentieren, wenn Du für den unter Verwendung von Cookies angebotenen Dienst aufgrund von dessen Inhalten viel Geld zu bezahlen bereit bist?
Banken beispielsweise akzeptieren Cookies in einem solchen Fall ...

Viele Grüße
      Michael