Hallo,

da der Sinn von Cookies eben gerade darin besteht von *dem* Browser auf *dem* Computer immer und ohne nachzufragen an *den* Server übermittelt zu werden, lässt sich das "Problem" für dich nur darin lösen, indem sich die Leute explizit abmelden, woraufhin dein Skript die relevanten Cookies und Sessiondaten löscht.

Das Konzept des "automatisch anmelden" (der Authentifizierung) funktioniert nur wenn der Computer/Browser von einer einzigen Person verwendet wird, bzw. dort getrennte Benutzerprofile zur Verfügung stehen.

»» Wie würdet Ihr das vom Konzept her machen _und_ dem User das _knapp_ erklären?

Wie Cheatah schon sagte helfen hier 'praktisch' nur Serversessions mit knappen Verfallsdatum. Du kannst eine *zweite* Session-ID als zusätzlichen Cookie mit abspeichern. Werden User- und Session-ID dann als Cookie gesendet kannst du vergleichen, wann diese Session für diesen User angelegt wurde und noch gültig ist. Ist sie es nicht (abgelaufen), muss sich der User neu anmelden, d.h. sein Passwort wieder eingeben.

Ebenso kannst/solltest du auf "permanente" Cookies verzichten und deren Gültigkeit auf die aktuelle Browsersitzung beschränken. Solange der Browser läuft, kann der User jederzeit, ohne Neuanmeldung zurück. Wird er aber geschlossen, werden auch die Cookies automatisch gelöscht.
Beim erneuten Besuch der Seite/des Forums braucht die Person dann lediglich ihr Passwort eingeben, denn den Usernamen hast du ja schon im Login-Formular vorbelegt :)

Willst du aber mit permanente Cookies (x-Tage/Wochen/Monate) verwenden, musst du einen Teil der "Sicherheit" auf den User abwälzen:

[ ] automatisch anmelden (Logindaten als Cookie speichern)

Wenn der Computer/Browser von mehreren Personen verwendet
    wird  (z.B. Internet-Café, Arbeitsplatz) sollte diese Option
    *nicht* aktiviert werden.
    Um Missbrauch vorzubeugen, solltest du dich daher stets
    aus dem Forum abmelden.

Ohne ein Stück "Disziplin" auf Seite der User geht es also nicht, und "Sicherheit" ist immer mit ein wenig Unbequemlichkeit verbunden.
Wer seinen Login "permanent" lokal speichert, muss eben damit rechnen, dass eine andere Person diese Daten verwenden (und missbrauchen) kann.
Will man das nicht, muss man sich eben explizit abmelden oder dafür sorgen, dass nichts derartiges lokal gespeichert wird. Ein durchschnittlicher Paranoiker wird dies ohnehin tun.

Dein Job ist es jedoch dafür zu sorgen, dem jeweiligen Sicherheitsbedürfnis des Users entgegen zu kommen, sprich serverseitig zu authentifizieren und Cookies als 200% optional zu betrachten.

Viel Spaß,
CirTap