Hallo Andavos,

Das passiert durch einen Cookie, in dem wird der Username und das Passwort (der md5-Hash) gespeichert.

Useranme sollte imho reichen - der User bekommt das Cookie eben nur, wenn er sich mit den richtigen Daten angemeldet hat (man möge mich korrigieren wenn das keine gute Idee ist :-)).

Soweit so gut, allerdings sehe ich dort ein großes Sicherheitsloch drin.
Wenn "mein" User jetzt mit dem selbem PW auch in anderen Foren aktiv ist, so können ja die Admins der anderen Foren den md5-Hash der User sehen.

nein, können sie nicht - der Cookie kann nur von der Domain die ihn gesetzt hat ausgelesen werden.

Grüße aus Nürnberg
Tobias