Задайтесь вопросом — нужна ли на Вашем сайте авторизация по кукисам? Достаточно ли это безопасно?
Да, это достаточно безопасно если привязывать сессию к ip-адресу и шифровать в md5 с солью. Но в любом случае, как ни защищай сайт, а если его хотят ломануть — его взломают. Вопрос только в том, сколько времени потребуется на взлом и на сколько это будет проблемно. Но тем не менее если в печеньках не хранить пароль (тем более в открытом виде), а хранить md5-хэш из ip-адреса, логина и соли из 6-10 символов, то деже если печеньки украдут воспользоваться ими никто не сможет, так как ip адрес пользователя вряд ли кто-то знает, а даже если известен ip-адрес алгоритм шифрования не известен.
Вот два примера шифрования, которые дают разные хеши:
md5("$login$salt$ip")
$v = md5("$login$ip")
md5("$v$salt")
Взлом md5 и так почти не возможет, а тут ещё добавляется соль и не известен алгоритм. Так, что даже админы-параноики могут расслабиться :)
На мой взгляд самый лучший вариант и сложный в реализации — выдавать для каждого ИП и браузера свою сессию и фиксировать это на отдельной странице. Там пользователь может анулировать нужную сессию. Так сделано в гугле и так сделано в новой реализации в контакте.
AgentSIB