Потому что могут зайти и чо-нить сделать. Например, если зайдут под модератором - удалят материалы.
Но даже если пароль шифрованый, его легко брутануть! :-)

чтобы родственники не спиздили

Герасим (09:52), не согласен. тот же md5 будет опупительно долго раскрываться.
другое дело, что вручную посылая шифрованный пароль якобы из кукис можно всегда всё равно зайти под пользователем
Имперская Разведка (09:59), так что родственники и так могут ;)
а вообще нехорошо тем, что это нехорошо по отношению к пользователю: вдруг он этот пароль везде юзает. поэтому же и хороший тон хранить у себя в базе не пароли, а хэш

не надо хранить пароль в куке... в куке должен быть только идентификатор сессии...

а теперь в адресной строке пишем javascript:alert(document.cookie) и начинаем искать XSS уязвимость =)

Герасим (09:52), TLK (12:47), гага. если пароль в перманентной куке, а не в сессионной, то ровным счётом пофиг зашифрован он или нет. всёравно можно зайти и насрать :)

при передаче по сети тоже асболютно похеру, хэш это или нет: я могу перехватить хэш точно также, как перехватываю открытый пароль и потом послать со своей тачки.

если на то пошло, можно вообще генерить и/или юзать айдишку сеанса.
выгода:
-пароль передаётся один раз в момент авторизации, который можно провести по SSL - перехватить его нельзя.
-на клиенте хранится только абстрактная строка, которая, к тому же, непредсказуемо меняется при каждом заход - с клиентапароль выдрать нелзя

минусы:
- от кради сеанса по прежнемиу никто не засрахован
- целуем в жопу автоматический логон через куки.

вот как-то так примерно.

Иван_Андреевич (13:14), к идентификатору сессии это тоже относится. получаю к прримеру твой идентификатор - вуаля - нас уже двое пишет одновременно под одним аккаунтом, пока ктонить не нажмёт кнопку "выход" и айдишка не сгорит

Как правильно делать давно придумали, и откровений тут быть не может. Просто себа задал конкретный вопрос, и не интересовался как лучше переделать. Я тока ответил, почему знание пароля третими лицами может быть вредно. И кстати хороший поинт насчёт одинаковых паролей на нескольких ресурсах.

То есть если не привлекать особые методы защиты, такие как SSL и прочую лабуду, и оставлять автоматический логон через куки, то разницы в том, зашифрован пароль в куках или не зашифрован никакой, так? (да/нет)

ceba (15:25), ага

Герасим (15:27), понял тебя.

ceba (15:25),

почти.

незашифрованный из кук могут лохи спиздить и через авторизации заходить.

Имперская Разведка (15:40), похоже я хуже лоха, я даже не знаю что с этими куками делать.

. (13:26), сессия хранится небольшое время... пароль ты мой так и не узнаешь...

Realasterix (15:42),

вводишь в адресную строку, как велел Андреич, javascript:alert(document.cookie) , а потом смотришь значение пасс

Имперская Разведка (17:00), ухнихуясебе! безопасность блин!

. (13:24) >> ровным счётом пофиг зашифрован он или нет. всёравно можно зайти и насрать :)
ну да, именно это я и имел в виду :)

. (13:26), можно переменную сессии связывать с IP - на многих сайтах такое замечал :)

ceba (15:25), есть разница (ответ нет) :)

Полблога с одной айпишки на работе сидит :)

ceba (18:10), ну на крайняк можно привязываться к паре IP: внешнему и внутреннему. обычно прокси дают данные о внутреннем IP вида 192.168... Это по ходу в PHP: HTTP_X_FORWARDED_FOR

TLK (18:48), если апач отдаст... а может и не отдать... всё зависит от того, как фронтэнд настроен...

Месишная прокся не палит HTTP_X_FORWARDED_FOR.

Иван_Андреевич (16:32), в том-то и фишка, что пока ты залогинен я могу работать с твоими же привелегиями ну и как вариант нагадить под твоим ником. Это и назвается "session hijacking".
Узнать когда ты в онлайне нетрудно - достаточно увидеть твой свежий коммент ;)

ceba (18:55), точна, поэтому привязка не катит.

опасность хранить парлоль (в любом виде) в куках лишь в том, что прикаждом запросе он (либо его хэш) пересылается по открытому каналу, может быть:
- перехвачен во время сединения, а затем в любое время использован.
- спизжен из куков а затем обратно использован

айдишка сеанса БОЛЕЕ безопасна:
- её можно спиздить и поюзать _только_ пока "жертва" в онлайне на блоге (+session lifetime)
- НО! при каждом заходе придётся логиниться заново, если сессия "сдохла" по таймауту


поэтому проще оставиь всё как есть и не заморачиваться. :)

. (21:52), вот и я то том же (к последней строчке) :)