1. Login für einen längeren Zeitraum, mit Sessions
2. Login solange bis die Seite geschlossen wird, mit Cookies.

Ich glaube Du hast da was verwechselt ...

1. Login für einen längeren Zeitraum, mit Cookies
2. Login solange bis die Seite geschlossen wird, mit Sessions.

Ihr beide verwechselst da was:

1. Ein Login wird (so er denn über mehrere Seiten gehen soll) mittels einer Session realisiert. Die Begriffe bezeichnen also im Endeffekt das Gleiche.
2. Sessions arbeiten mit Cookies, nur ausnahmsweise werden URL-Parameter genutzt.

Man könnte auch sagen, daß Ihr da von ein- und demselben technsichen Vorgang redet, ihm aber drei verschiedene Begriffe zuordnet.

Jetzt interessiert mich in Bezug auf Punkt 2, wie sicher es ist, einen Cookie zu setzten.

Cookies sind, wie Harry bereits geschrieben hat, generell als unsicher einzustufen, da sie im Klartext übertragen und gespeichert werden. Dies gilt ausdrücklich für Punkt 1 UND Punkt 2.

Die Frage ist jetzt, um welche Sicherheit es hier geht. Absolute Verbindungssicherheit ist nur zu erreichen, indem ein verschlüsseltes Protokoll (https) eingesetzt wird.
Um die allgemeine Sicherheit der auf dem Benutzerrechner gespeicherten Daten muß und kann sich nur der Benutzer kümmern. Die Sicherheit von einzelnen Daten, auch vor dem Benutzer, wird mit fertigen Sessionlösungen (auch PHP-Sessions) erreicht, indem statt der eigentlichen Daten nur ein zufälliger Bezeichner an den Benutzer gesendet wird (Session-ID). Die Daten selber bleiben auf dem Server, dieser Datensatz wird mittels der Session-ID geladen.

Ohne weitere Details zu kennen sehe ich das Sicherheitsproblem nicht bei dem vorübergehenden Login, sondern beim dauerhaften, denn es kann von Serverseite aus niemand garantieren, daß nicht irgendjemand anders den Rechner benutzt, wenn der Eigentümer zum Essenfassen oder in den Urlaub verschwindet.
Von daher sollte ein dauerhafter Login nur als Option zur Verfügung stehen, die eine schnelle Überprüfung, also lesenden Zugriff, von Daten erlaubt. Jedwede Änderung an den Daten, also schreibender Zugriff, muß immer eine zeitlich nahe Authentifizierung (also wiederum den vorübergehenden Login) erfordern. Diese Vorgehensweise ist sicher jedem von eBay bekannt.