Nein, schon richtig, aber die Frage wird interessant, wenn die Sitzung-Cookies dauerhaft abgelegt werden.

Da hast du in der Tat recht.

Anderes Szenario: keine dauerhaften Cookies, aber User (nicht in WG, da hast Du recht, daß die nicht gleichzeitig am selben Rechner sind, sondern in einem Betrieb) greifen gleichzeitig zu. Muß dann je Nutzer ein anderer Cookie verwendet werden mit verschiedenem Cookie-Namen?

Es hat schon seine Gründe, warum ich bei mir Cookies immer ausgeschaltet habe. Nur im Notfall mache ich eine Ausnahme und lasse temporäre Cookies zu, und nur für besonders "vertrauenswürdige" Seiten

Hatte ich auch eine Weile, aber inzwischen lasse ich stattdessen das Cookie-Verfallsdatum vom Browser automatisch auf das Browserende begrenzen. Einerseits wird dauerhaftes Nachschnüffeln so weiter verhindert, andererseits habe ich keinen Aufwand mit Seiten, die Cookies zwingend benötigen. Für mich ein akzeptabler Kompromiss.

Hm, auch dann können verfolgende Cookies von unterschiedlichen Websites, die mit einem Dienst in der Art von doubleclick auf ein gemeinsames Cookie zugreifen können, Dein Surfverhalten überwachen, solange Du nicht den Browser schließt. Ich benutze z. B. exzessiv Tabs, ohne permanent die Browser-Instanz(en) (neben Tabs habe ich meist auch mehrere Browser-Fenster offen) zu schließen. Deshalb wären mir auch temporäre Cookies zu unsicher. Es reicht schon die staatliche Überwachung, die immer weiter um sich greift. Dann nicht auch noch kommerzielle Überwachung.

Die setzen bei mir garantiert kein Cookie mehr. Ich werde sie direkt mal in die Liste der verbotenen Sites reinpacken. Google ist mittlerweile viel zu groß und marktbeherrschend geworden.

Nun, de.ask.com funktioniert auch sehr gut.

Toller Tip, kannte ich noch nicht. Das Design ist zwar stark von Google abgekupfert (=geklaut), aber wat solls. So findet man sich schnell zurecht. Werde ich zukünftig auf jeden Fall öfter benutzen.

Noch ein Anti-Schnüffel-Tipp: In der hosts-Datei (bei Windows XP im Windows-Ordner unter system32/drivers/etc zu finden, unter Linux & Co. in /etc/) eine Zeile in der Art

127.0.0.1       localhost google-analytics.com ssl.google-analytics.com www.google-analytics.com

Google Analytics breitet sich wie die Pest aus.

Also werden Zugriffe auf den localhost nach google-analytics.com umgeleitet!? Das wäre ja schon kriminell! Wie schon gesagt, jeder Idi nutzt völlig bedenkenlos Google, ohne über die Konsequenzen nachzudenken, was das Verschwinden anderer Suchmaschinen bedeutet.

Wenn die Sitzungsdauer abgelaufen ist, lösche ich manuell den Cookie und die Session, damit eine neue Session erzeugt werden kann.

Lösche einfach nur den Inhalt von $_SESSION mittels session_destroy(). Damit sind die Daten weg, aber der Cookie bleibt erhalten.

Aber dann bekommt der User nach einem erneuten Login doch dieselbe SID!? Ist das nicht unsicher

Nein, ist ja nix mehr drin. Ob du nun eine neue aufmachst, die leer ist, oder eine bestehende beibehältst, die leer ist, macht keinen Unterschied.

Ok, dann kann ich mir das wirklich sparen.