Hallo,

aktuell speichere ich für den Autologin die UserID sowie das Passwort als MD5 in einem Cookie.

Angeblich ist das aber nicht gerade sicher...

Ist die UserID statisch, kann ich mit dem MD5konvertierten Passwort jederzeit eine fremde Session weiterführen.

Wie macht man das aber nun "sicherer"?

Mit einer SessionID
Userdaten und Passwort haben auf dem Server zu verbleiben.
Das erlaubt immer noch, dass eine Session entführt werden kann, da aber eine Session nur eine beschränkte Lebenszeit hat/haben soll (somit auch die SessionID) kann dies nur für die gegenwärtige Session gelten.

Sicherheit gibt's nur via https oder via aufwändigere Tricks.

mfg Beat