FatherSql, пароль, как и другие данные формы, пересылается в открытом виде. Нужно шифрование - добавь самостоятельно или используй https.

FatherSql, веб хорош тем что переселыаемые данные легко просмотреть. Открой сайт "серьезного проекта" и посмотри как у них сделано.

FatherSql, что касается youtube, то по моему авторизация у них всегда шла через https.

FatherSql, да с важным уточнением, что страница где вводится пароль должна быть получена через https.

Your login form posts to HTTPS, but you blew it when you loaded it over HTTP

FatherSql, пароль в куках не надо хранить. В этом нет никакой необходимости. Пароль (в хешированном виде) должен храниться на сервере.

FatherSql, в куках хранится идентификатор сессии, а не сама сессия.

Если не понимаешь как это устроено, то используй готовые проверенные решения которые есть для любой распространенной веб-платформы.

FatherSql, да.

FatherSql, есть ли смысл закрывать дверь в квартиру ведь если у взломщика есть отмычка, то открыть дверь несложно? Думаю что подобных сомнений у тебя не возникает и дверь ты запираешь. Тоже самое с паролями. Их обязательно нужно хешировать используя специализированный алгоритм для хеширования паролей такой как bcrypt или PBKDF2. Перед хешированием к паролям следует добавлять разное случайное значение (его называют солью или salt) которое хранится рядом.

Это защищает пользователя от компрометации других его учетных записей на других сайтах. Несмотря на предупреждения люди все еще используют одинаковые пароли на разных сайтах. Хранение паролей в виде хеша усложняет работу хакерам вынуждая делать дополнительную работу для получения паролей.

Пароль нельзя узнать ни админу ни хакеру без взлома

Добавление salt гарантирует что одинаковые пароли у разных пользователей будут выглядеть по разному и лишает хакера возможности использовать словарь с паролями и хешами для быстрого взлома.

Использование алгоритмов bcrypt, PBKDF2 вместо MDx, SHAx замедляет генерацию хешей и, как следствие, любые brute-force атаки.