Hallo Uschi,

Also wird das Passwort doch nur ein einziges Mal
übertragen.

Richtig. Und wenn im Cookie nicht das Passwort, sondern statt dessen die Session-ID steht, dann dort ebenfalls.

Der einzige Unterschied zwischen diese beiden Fällen ist, daß der URL mit der Session-ID leichter beobachtet (Logfiles) und leichter angewendet (ggf. einfach in die Location-Zeile kopieren und ein bißchen darin herum stochern) werden kann als der Cookie, der normalerweise weder geloggt wird noch von einem normalen Browser-Benutzer erzeugt werden kann.
Von einem Cracker mit Programm wie http://www.schroepl.net/cgi-bin/http_trace.pl als Pseudo-Browser, welches HTTP-Header aktiv zusammenbastelt, kann auch so ein Request mit Cookie natürlich gefaked werden - wenn er weiß, was in dem Cookie stehen muß - eventuelle Prüfsummen mit Bezug auf andere HTTP-Header, etwa seine IP-Adresse, innerhalb des Cookie-Wertes würden ihm allerdings weh tun können.

Oder bin ich da jetzt fundamental im Irrtum?

Du hast das schon alles richtig verstanden, denke ich.

Viele Grüße
      Michael