Ich habe geschaut und es scheint eher nicht zu funktionieren, aber irgendwie liest man ab und an, dass diese policies nicht 100% umgesetzt werden oder wurden von den Browsern. Aber generell scheint es die Trennung von Cookie nach Domains grundsätzlich immer zu geben.
Wenn man das Cookie auf HTTPOnly stellt, dann wird die Sache noch erheblich sicherer.
Jetzt noch eine weitere Frage in diesem Zusammenhang: Kann man mit Javascript ein Eingabefeld des Typs Passwort abfragen während der Eingabe. Eigentlich müsste das doch gesperrt sein.
Nur mal zum Hintergrund, ich arbeite an einem Projekt, bei dem Benutzer Webseiten per Baukasten erstellen können, dabei HTML Codefetzen einbinden dürfen und fertige Module einbiden können. Alle Seiten laufen auf der gleichen Domain. Ist ein Unterhaltungsprojekt, also wenn mal was schief geht, fällt nicht gleich die Welt auseinander, aber sollte vermieden werden... Dateien kann der Benutzer auf diese Domain nicht hochladen.
Die Frage ist, ob die Loginfelder auf der gleichen Seite erscheinen können, wo der User auch Javascript Code platzieren kann. Wenn man das Passwort bei der Eingabe auslesen könnte, müsste es auf eine extra Seite.