hi,

Allerdings hindert das einen Besucher auch nicht daran, nach dem Schließen des Browserfensters (ohne so etwas wie ein Logout) einige Minuten später ein neues Browserfenster aufzumachen und den privaten Bereich ohne Login direkt zu betreten - das Cookie existiert ja noch. Ich vermute, das ist es, was Marcel nicht gefällt (wobei man das mit Session Cookies, also nicht-permanenten, weitgehend ausschließen kann).

Und solche Sitzungs-Cookies setzt PHP bei einer cookiebasierten SID-Übergabe per Default.

gruß,
wahsaga