Moin!

Also: Die Zwei-Cookie-Variante, einmal Session-Cookie und einmal Dauerlogin-Cookie? oder die Ein-Cookie-Variante nur mit dem (veralteten) Session-Cookie?

Drei Cookies. Ein Session-Cookie mit der aktuellen Session-ID, ein dauerhaftes mit dem Usernamen und ein dauerhaftes mit dem Passwort.

Wenns ans Login geht, und die Zugangsdaten benötigt werden, kann man in $_COOKIE nachsehen, ob sie schon geliefert werden, ansonsten muß man per Formular nachfragen.

Hinsichtlich des Sicherheitsniveaus sehe ich keinerlei Unterschied, weil Formulardaten auch unverschlüsselt übermittelt werden. Auch ein Hashing z.B. des Passwortes im Cookie bringt nichts, weil das Serverskript entweder das uncodierte Passwort oder den Hash im Klartext erhält. Das Passwort würde auf dem Server gehasht, der Hash würde direkt übernommen (und ggf. in einem Mechanismus eingebaut, der dann nochmal einen Hash erzeugt, der mit der Datenbank abgeglichen wird). Wenn der Hash einem Dritten bekannt wird, erhält er damit Zugriff, genau wie mit dem Passwort.

- Sven Rautenberg