Опасность Cookies в HTTP

Приветствую вех Недавно у меня на сайте произошла утечка информации, а точнее один муфлон крал куки и входил под идентификаторами любого пользователя.Насколько я знаю, куки должны хранить в себе лишь некий условный идентификатор посетителя, причем выдается этот идентификатор на небольшой срок, во избежании утечки информации. Логины и пароли должны храниться в базе в зашифрованном виде.Все, вроде бы, так, НО у меня все таки "стырили" куки, и очевидно, что в них и хранятся логины и пароли юзеров.А случилось это с движком dcms.Да да, знаю что двиг не ахти.Так вот, собственно вопрос - каким образом можно убрать запись логина и пароля в куки?Или может быть по сессии он зашел?Вариантов куча, голова разрывается и, конечно же, мне срочно нужно решить эту проблему.Я не прошу вас писать коды и тому подобное, просто прошу совета по этой проблеме.Заранее благодарю всех.

1. Better, Я обычно еще сравниваю хеш из ип, юа пользователя с солью с записью в БД. Если не совпадает - прошу авторизоваться

2. Zдешний, Остроумно, но не по теме

3. Better, по идее при регистрации, должны записываться или при входе

3. Better, уберешь запись логина и пароля в куки, пользователи задолбуться входить на сайт

Не путайте чувака, а то у него моск взорвется.

1. Better, тебе надо думать не о том, что писать в куки (туда можно писать все что угодно). Тебе надо искать каким образом эти куки воруют у пользователей. Найдешь дырку в скрипте и залатаешь ее, тогда проблема решится сама собой.

задам вопрос не по теме)) а как можно своровать куки ЮЗЕР'ов? идет ведь запись в куки браузера, где данные одного юзера...

7. JaRUS, XSS

Для безопасности куки нужно устанавливать в режиме http only,таким образом хацкер не сможет получить их с JS и отправить на сниффер

9. VITAMIN, ну, чисто теоретически, атрибут HttpOnly и использование SSL-соединения должны помочь, но не решают главную проблему.