Hallo Andavos,

Wenn "mein" User jetzt mit dem selbem PW auch in anderen Foren
aktiv ist, so können ja die Admins der anderen Foren den md5-Hash
der User sehen.

Nein. Das Cookie wird nur gesendet, wenn Domain- und Path-Feld
stimmen. Ein Cookie fuer www.selfhtml.org wird nicht an
forum.de.selfhtml.org geschickt, und ein Cookie mit dem Pfad
/foo/bar/ wird nicht an /bar/foo/ geschickt.

Das Problem sehe ich woanders: es steht jedem frei, den Cookie
mitzusniffen und dann seinerseits zu verwenden.

Kennt jemand einen Ausweg daraus, ohne das der Komfort zukurz
kommt?

Sichere Verbindung (SSL). Du kannst dir ja ein Zertifikat von
cacert.org ausstellen lassen.

Grüße,
 CK