Форум PHP

1) Если пароль, который хранят пользователи дает в случае его получения злоумышлеником доступ к деньгам или каким-то другим преимуществам - храните только логин, запрашивая в каждом критическом месте пароль.
2) Если пароль не значим (не приносит выгоды в случае его получения), а пользователей необходимо оградить от постоянного ввода пароля (форум, чат и т.п.) - храните в том числе и пароль, тщательно следя за тем, чтобы не допускать на сайте XSS-инъекции.

Визитки не имею, но если уж сделаю - то одну и на долго, тут правда ваша.
Но если ограничивать возможность при логине обычно и автологине, то кода становится несколько больше. Хотя сделать это не так напряжно.
Но с другой стороны, если авторизация на сайте нужна именно для определенных действий и ограничить какие-то из них нельзя (таким сайтом я сейчас и занимаюсь), то там уж либо позволять при автологине все, либо вообще убрать возможность автологина. Или у вас есть третий вариант?

А про этот форум - я был неприятно удивлен, когда увидел свой пароль в исходниках (да, здесь я пользуюсь автологином)

Ну вобщем так ничего и не понял :)
Что лучше хранить в куках и как их лучше защитить? :)

Иногда требует, но это вопрос уже оферты или соглашения. В любом случае мы уже отклонились от изначального вопроса - эту дискуссию, если и продолжать, то лучше в новой теме.

не о гарантиях речь... никто ж от поставщика услуг никаких гарантий не требует? речь о возможностях.
делегировать по соглашению - это одно.
делегировать по дефолту - совсем другое.

[поправлено модератором]

>Короче, снять с себя ответственность
А в этом нет ничего страшного, поиск зон ответственности в области IT идет десятилетиями. Если раньше один менеджер нес ответственность за одного, десять, максимум несколько десятков человек. То в IT речь идет об тысячах и десятках тысяч пользователей - нет никакой возможности даже широким штатом гарантировать их безопасность или осведомленность. Поэтому приходится делегировать ответственность и делегировать в том числе в зонах, которые раньше целиком лежали на плечах поставщика услуг.

PS Это даже не изобретение Web-разработчиков, это началось до Web.

Ну да, всегда можно сделать галочку "запомнить меня", при этом предупредив пользователя, что с этого момента ответственность за сохранение этой информации на его компьютере перекладывается на владельца этого компьютера. Короче, снять с себя ответственность

не так категорично.

Понятно, что кукис может и будет использоваться дляя хранения аутентифицирующей информации.
Просто в силу того, что для автологона такую информацию больше хранить негде.
Но стремиться по возможности уменьшить риски от ухода кукис на сторону - можно и должно.

К примеру, на этом форуме умыкание кукиса (даже если он хеш) приводит к тому, что враг не только получает возможность создавать темы и отвечать на реплики, но и права на модификацию профиля и привилегии смены пароля. А зачем, спрашивается, по автологону всё это разрешать? Часто Вы визитку меняете?

Да и про подбор самого пароля по хешу сказано достаточно.

Уже много раз обсуждали эту тему: есть разные ресурсы, разумеется пароль от OnLine-счета или интернет-магазина гораздо более ценен, чем от форума или чата. Кому-то лень каждый раз вводить пароль, кому-то нет. Ситуации бывают разные - не во всех случаях можно сказать: следует поступать так и только так - очень часто бывает круг задач, где приходится идти на компромис или против обычного правила.

И поэтому разработчики сайтов должны учитывать, что пользователь может закинуть кукисы на флешку и разнести по всему городу.
Поэтому я бы в кукисах хранил только неинтересную никому информацию (настройки оформления, общедоступных опций сайта и тп), если бы не "Я хочу пункт "запомнить меня", делайте".