Da musst du dann eben auf die Vorsicht des Users vertrauen - da man die Cookies meist im Browser bearbeiten kann, könnte sich jemand, der zufällig am PC des Admins ist (falls der sich z.B. an einem öffentlichen PC in Schule, Büro oder Internetcafe einloggt), in den Cookie gucken, sich den Hash notieren und bei sich selbst dann eben einen Cookie mit diesem Hash setzen bzw. den Hash in seinem Cookie ändern. Also auf jeden Fall ein Logout einbauen, dass den Cookie wieder löscht ... dann sollte es nicht unbedingt große Sicherheitsprobleme geben. Allerdings halte ich da Sessions doch für sicherer, auch wenn ich im Grunde keine Ahnung hab, was man da wieder falsch machen kann ^^"

Und sonst bevorzuge ich persönlich, wenn ich denn eben nicht z.B. den Usernamen für irgendetwas brauche, auch einfache .htaccess-Logins. Sind eben deutlich komfortabler und wohl auch sicherer.