hi,

unter der annahme, dass beide seiten von der selben domain stammen:

Man nehme eine Seite main.html, die in Frames, iframes (oder was auch immer) eine andere Seite xy.html anzeigt. Kann dann xy.html Cookies von main.html lesen?

wenn beide innerhalb des selben verzeichnisses liegen, ja.
wenn die "lesende" datei in einem verzeichnis unterhalb des setzenden liegt, m.E. ebenfalls.

und wie man es vielleicht unterbinden könnte..

beschäftige dich mal mit der cookie-spezifikation von netscape, http://wp.netscape.com/newsref/std/cookie_spec.html.
interessant sind in diesem zusammenhang die parameter domain und path.

und auch das PHP-manual liefert noch ein paar informationen dazu in der beschreibung der funktion setcookie(), http://www.php.net/manual/de/function.setcookie.php.

gruss,
wahsaga