Hell-O!

• ist das Loesungskonzept einigermassen sicher?

Ja, sieht so aus.

• Waere es ein Sicherheitsrisiko, die Login-Daten und/oder die SID in Cookies abzuspeichern?

Wenn das Cookie clientseitig nicht akzeptiert wird, besteht keine Möglichkeit der Zuordnung.

• ist die SID eindeutig, bzw. nicht von aussen nachvollziehbar oder leicht knackbar?

Christian Kruse hatte mir mal eine Subroutine zur Verfügung gestellt:

sub _create_SID {  
  my $rmid = $ENV{HTTP_X_FORWARDED_FOR} || $ENV{REMOTE_ADDR} || '654.546.654.546';  
  $rmid =~ tr/./0/;  
  $rmid = pack("a[12]",$rmid);  
  my @chars = split // => 'aAbBcCdDeEfFgGhHiIjJkKlLmMnNoOpPqQrRsStTuUvVwWxXyYzZ0123456789-_';  
  my $id = '';  
  $id .= $chars[$_] foreach split // => $rmid;  
  $id .= $chars[rand @chars] for 1..4;  
  return $id;  
}

Die scheint mir relativ sicher zu sein, zum Einsatz kommt sie bei mir in diesem Package.

• gibt es sonst noch irgendetwas zu beachten?

Ja, es gibt eine Latte von Session-Modulen auf cpan.org, vielleicht nehmen die dir ein Stück Arbeit ab.

Siechfred