Moin!

Der Browser wird dabei aber den für Domain 1 gesetzten Cookie nicht an die Domain 2 senden.

doch!
Das kann ich Dir sogar beweisen!

aeh, Du hast Recht. Natürlich nicht, das hatten wir auch schon.
Aber das ist ja gerade der "Trick":
Du verwaltest für beide Server/Domänen die Cookies zentral auf einem Server/Domain.

Cookies werden nicht auf Servern verwaltet, sondern im Browser!

Und selbst mit dem 1-Pixel-Bild wirst du den Cookie von der Pixeldomain niemals an das Skript zur Generierung dynamischer Webseiten der anderen Domain übertragen können (auch nicht durch die Hintertür serverintern), weil es sich dabei um zwei komplett voneinander unabhängige Requests handelt.

Das ist gerade für die hier gewünschte Anwendung als Authorisierung (vgl. Ausgangsposting) absolut unsicher!

- Sven Rautenberg