realmente solo hay un servidor, y las paginas se cargan todas del mismo document root, es una especie de sitio multidominio, pero quieren que los propietarios de las paginas dependientes hagan el login desde y solo desde la princial... cosas de marca XD

y lo que me preguntas de pasar datos por url... siendo que solo paso el array aleatorio y el id de usuario, y que ese array solo será valido durante 10 segundos... deberían atraparlo y ultilizarlo durante esos 10 segundos para poder loguearse con la cuenta de otro... no vale verlo en el historial y utilizarlo ya que el timestamp no sale del sevidor y no pueden falsear ese dato, quiza get no sea seguro mandando una contraseña ¿pero asi lo es?