Hallo,

Wenn er die Seite besucht und ein Cookie vorhanden ist, überprüfst du ob das PW aus dem Cookie passt und lässt ihn rein.

Nö. Du willst echt nicht jedes mal das PW senden?
habe immer gedacht, dass Sessions das Senden eines PW abnehmen sollen, ausser beim Login.

Dein Browser sendet beim Reguest der Seite automatisch alle Cookie Daten, die er für diese Domain hat, sprich, bei jedem Aufruf wird, gewollt oder nicht, das Cookie mit dem PW gesendet.
Dennoch empfiehlt es sich, nach dem erfolgreichen Login per Cookie eine Session zu registieren, tut mir leid falls ich mich in dem Punkt falsch ausgedrückt habe.

(Wobei bei .htaccess wird normalerweise nach dem Login auch bei jedem weiteren Seiten-Request das Passwort (base64-kodiert) mitgesendet)

Nachteil: Jeder der den Cookie ergaunern kann, hat Zutritt zum System + Verzeichnisschutz ist per PHP nicht möglich.

Jau, genau.
Wenn du statt dem PW eine Session-ID zur Fortsetzung der durch erfolgreiches Login eröffneten Session sendest, hast du nur noch das Problem, dass jemand die Session klauen kann, was sich aber bei geeigneten Methoden ebenfalls weitestgehend unterbinden lässt.

Der Threadsteller möchte (zumindest interpretiere ich das so), dass die bestimmten Leute dauerhaft und ohne Eingabe des Passwortes die Seite nutzen können. Hier funktionieren Session nicht, da diese i.d.R. nach einer bestimmten Zeit gelöscht (~30 Min) werden und das Cookie mit der SID eh nach beenden des Browser gelöscht wird.

Natürlich könnte man ewig lebende Sessions + Session Cookies konstruieren, wäre aber extrem unschön und kein Sicherheitgewinn gegenüber von Cookie + Passwort.

MFG
Andavos