Ich führe bereits seit Monaten Statistiken über die Cookie-Fehler von immerhin 100.000 Mitgliedern. Hauptproblem ist z.B. Opera, der es nach einem Update oder durch eine Virensoftware (genaueres konnte ich nicht ermitteln) nicht ermöglicht, dass man ein gesetztes Cookie wieder löscht. Ein Bug in Firefox 3 führt sogar dazu, dass ein Cookie
doppelt angenommen wird. Dann kommen noch eine Menge User hinzu, die einfach so wieder ausgeloggt wurden, weil (so meine Vermutung) die DB exakt in diesem Moment nicht mitspielt. Daher werde ich davon so oder so weggehen und wieder ein dateibasiertes System realisieren. Das schont dann auch die DB.
@ cortex
Mein bisheriger Autologin ist sehr sicher, da das Cookie mit jeder Impression ungültig gemacht wird (gleiches Prinzip wie bei einer Session). Selbst wenn also jemand das Cookie gestohlen hat, war es bereits mit hoher Wahrscheinlichkeit ungültig, da der Eigentümer zwischenzeitlich eine neue Impression ausgelöst hat. Und selbst wenn er es geschafft hat, braucht der Eigentümer sich nur erneut einloggen, um das gestohlene Cookie wieder zu entwerten.
Nur leider häufen sich mit den wachsenden Mitgliederzahlen auch die Support-Anfragen und auch wenn es nur 1-2% aller Nutzer sind, die damit Probleme haben, ist das eine ganze Menge Arbeit (entsprechende FAQs gibt es, aber werden bekanntlich nicht gelesen ;)).
Zuletzt bin ich mit der Performance unzufrieden und möchte da nachbessern.
Kannst Du jetzt meinem Standpunkt folgen oder glaubst Du immer noch nicht, dass Autologins sicher sein können?