Escribo esto para ver si alguien ve algún agujero por algún lado que no me haya dado cuenta o si por el contrario esto podria ser fiable,

El escenario es, 2 sitios web distintos, las bases de datos de los dos sitios es la misma, pero el login se realiza en el primero y luego se le envia al segundo y por tanto toca en el segundo sitio inicializar una sesion con el usuario correspondiente

y el método es que he creado el formulario de login en el primero y la comprobacion se hace en este, si es válida, se generan y almacenan en la base de datos una cadena aleatoria de 50 caracteres y un timestamp y se envia al segundo sitio con una redireccion de php, a traves de la url se envian nada mas que el usuario y la cadena, en el segundo se comprueba, que el timestamp actual del servidor no exceda 10 segundos del timestamp almacenado en el momento del login y se comprueba si la cadena que se ha enviado por la url coincide con la almacenada en la base de datos, si estas dos comprobaciones son verdaderas, se hace un login directamente con el usuario enviado por la url sin comprobar correos contraseñas ni nada,

a simple vista me parece bastante seguro, ¿le veis alguna pega?