Hallo!

manchmal habe ich das gefühl ( durch hin und herschalten zwischen den seiten ) das es funktioniert,
aber definitiv beim aufruf der zu schützenden seite, bin ich eingeloggt, auch nach ablauf der zeit

Sicher funktioniert sowas nur indem Du den Timestamp des letzten Besuches in der Session speicherst und bei einem Request mit dem aktuellen Timestamp vergleichst. Ist die Differenz größer als 60*20 Sekunden musst Du die Session löschen und ein neues Login fordern.

Sonst würde ich das nicht über den Cookie machen, denn der ist manipulierbar, will heißen das ich auch wenn der Cookie eigentlich gelöscht sein sollte ich trotzdem denselben Cookies schicken kann. Daher solltest Du die Session-Daten nach einer festgelegten Zeit löschen, das geht entweder mit http://de3.php.net/manual/de/function.session-cache-expire.php, oder indem Du den entsprechenden php.ini Parameter per ini_set() veränderst.

Aber wie gesagt, ich würde die erste Methode empfehlen, da das die einzig wirklich zuverlässige ist.

Grüße
Andreas