Hallo,

und wenn es sich nicht um ein Formular handelt? Wie könnte es anders
sein?

dann wäre es vermutlich ein Link. Das entsprechende Äquivalent wäre ein URL-Parameter.

mit anderen Worten müsste ich in allen Links ein skript.cgi?id=4711

anhängen? Und allen Funktionen müsste ich die ID als Argument
mitgeben, damit die ID innerhalb der Funktionen an die Links gehängt
werden kann? Das halte ich für zu umständlich.

zu a) fällt weg,

Kommt drauf an wofür.

Zum Beispiel die Möglichkeit eines automatischen Logins.

Automatisches Login? Das ist eine völlig andere Funktion, die mit der Identifizierung eines eingeloggten Users absolut nichts zu tun hat. Es ist hierzu eine separate, unabhängige Betrachtung nötig.

Aber von Anfang an meinte ich einen Langzeit-Cookie, der in der Regel
für genau soetwas genutzt wird.

Aber welche dieser Varianten ist die sicherste?

Sicher in Bezug auf ...?

Was bei HTTPS schwieriger wird. Unmöglich natürlich nicht.

Das werde ich noch in meine Anforderung aufnehmen... hatte ich
sowieso vor.

Zudem: was ist _so_schlimm_ an einem Cookie?

Nichts. Sofern man sie nicht voraussetzt. Dann ist das selbe schlimm daran, wie beim Einsatz von z.B. JavaScript: Im Zweifel funktioniert es nicht.

Warst du das nicht gerade selber, der meinte, dass ein Benutzer eine
Richtlinie aktzeptieren muss bezüglich Session-ID, damit er die
Seite nutzen kann? Mit einem Cookie wäre das wirklich nicht anders
oder? Was meinst du? :-)

Greez,
opi