hmm also zum thema coockies und passwort übertragungen
siehe http://www.php-einfach.de/tuts_php_cookies.php
normalerweise macht man ein login (da alles in klartext übertragen wird, was formulare etc angeht) im https bereich, der verschlüsselt vorher und stellt einen sicheren kanal bereit. Nur die beteiligten können klartext sehen, der rest sieht kryptik.
man kann nun die ganze site auf https laufen lassen, das ist aber durchaus resourcen fressend. Um nur die Logindaten zu schützen, machen viele eine session-id , diese ID ist für die wiedererkennung des benutzers, so ist es unabhängig von username und passwort.
Eine Session-id mit einer user-id ergibt dann die quasi anonyme weiter verarbeitung. Es braucht also nicht zufällig nur eine session id , sondern auch den richtigen user dazu, das ist bei langen sessions ziemlich sicher. Aber auch da hat man sich gesagt, die session wird regelmässig gewechselt oder die session kann via logout gelöscht werden, somit kann kein programm durch durchtesten den login via session id und user id aufmachen. Web.de gmx.de glaubich warnen bei neueinloggen das nicht ausgeloggt wurde, und das mit gutem grund.
Also sicher ist das passwort nur wenn https ins spiel kommt, bei allen anderen sachen wirds schwierig bzw stark anfällig. Das speichern in coockies ist so sicher wie der zugang zum browser dateien, man sollte also passöwrter in eigenen cookies nicht als lesbar schreiben sondern verschlüsselt.
