Hi alle! Mal eine Frage:

Ich bau da eine Webseite, bei der die Benutzer mittels login/password in einen geschützten Bereich einloggen können. Ich benutze zur Authentifizierung eines eingeloggten Benutzers eine Zufallszeichenkette (50 Zeichen a-z), die in der URL übergeben wird. Benutzerinfos (Einlogzeitpunkt, Rechte, etc.) werden in einem temporären File abgelegt, das als Namen die übergebene Zeichenkette hat.

Frage ist: Wie sicher ist sowas? Was gibt es für Nachteile, die das ganze unsicher (knackbar) machen könnten? Was für andere Dinge sollte man zusätzlich benutzen (Cookie o.ä.)? Wo gibt es angreifbare Schwachpunkte?

Danke für die Tipps!

P.S.: Ich möchte möglichst keine Perl-Module benutzen und auch möglichst nicht dem Apache die Authentifizierung überlassen. Das ganze soll mal über SSL laufen, wenn's fertig ist (und ich mich etwas über SSL schlau gemacht hab *g*).