Beim einloggen wird kein Cookie gesetzt, sonder das Forum erkennt den User scheinbar anhand der IP.
Nun war ich über TOR im Forum und es passiert nicht nur, dass wenn ich (wieder) über dieselbe TOR-IP im Forum bin, ich auch wieder eingeloggt bin (ohne mich einzuloggen), sondern auch, dass wenn jemand anderer über dieselbe TOR-IP im Forum war, ich nun als dieser andere jemand eingeloggt bin..
Das bedeutet (allgemein), erwischt man dieselbe dynamische IP, die ein anderer User davor hatte und sich wahrscheinlich nicht ausgeloggt hat, kann man seine ID übernehmen..
Klar das falsche Weg in einem Szenario, in dem die IP Adressen nicht statisch sind..