Danke erstmal für deine Antworten.

• Der Cookie soll nicht nach einer gewissen Zeit verfallen, sondern anhand des Timestamps im Cookie kann ich sehen, ob die Auto-Logout-Zeit schon verstrichen ist und dem entsprechend reagieren.

• Das ganze ist immer noch um ein paar Ecken sicherer als eine unverschlüsselte Übertragung der Daten in Verbindung mit PHP-Sessions, denn die haben auch ihre Tücken...

• Vorraussetzung für das ganze ist natürlich, dass der Client Javascript und Cookies zulässt... (hab ich nie bestritten und sehe ich nicht als Nachteil)

bubi.