Hi bubi,

• Der Cookie soll nicht nach einer gewissen Zeit verfallen, sondern anhand des Timestamps im Cookie kann ich sehen, ob die Auto-Logout-Zeit schon verstrichen ist und dem entsprechend reagieren.

Der Cookie ist als Datum von aussen beliebig manipulierbar, du kannst dich nicht auf die Information darin verlassen.

Und, wenngleich eine sichere, verschlüsselte Lösung [1] mit Javascript theroretisch möglich ist, so ist es doch äusserst unwahrscheinlich, dass irgendwas selbstgebasteltes mit den etablierten Lösungen mithalten kann.
Entweder es kommt drauf an - dann kommst du um SSL nicht drum rum. Und zwar schon deswegen nicht, weil deine Anwender es so haben wollen. Oder es kommt nicht drauf an, dann ist die übliche Klartextpasswort mit Session Lösung ausreichend.

Gruss,
  Carsten

[1] Das Passwort wird Clientseitig (Javascript) mit dem öffentlichen(!) Schlüssel eines asymetrischen Verfahrens verschlüsselt und lässt sich nur mit dem geheimen, privaten Schlüssel auf dem Server entschlüsseln. Für die spätere Passwortabfrage nimmt man dann ein Challenge/Response verfahren, damit kann man ein einmal abgehörtes Login später nicht mehr als Freifahrtschein verwenden.