B~Vladi,
ну, я также думал разрулить
теперь злоумышленнику достаточно перехватить в любой момент сессию с случайным числом, и обновляя страницу раз в минуту, он будет поддерживать соединение

А если хранить логин и пароль в двух глобальных переменных?
window.login и window.parol ?

mycoding,
ты что шутишь?
конечно же это будет более чем небезопасно

А почему? Все злоумышлиники рассчитывают, что данные в cookie.
Т.е. от случайных скриптов по угону паролей уже затились.
Страница закрыта данных нет.
Можно конечно просто idssesion держать в переменной.
Как можно данные угнать в этом случае.

нормальный злоумышленник просечет фишку на раз

mycoding, тогда уж не локально, а где нить внутри функции, чтобы хакер не сразу их нашел:D

На самом деле кроме сессий похоже ничего нет.
А моя идея с глобальными переменными плохая уже понял.

Как сделать автоматическую авторизацию (галочка "запомнить меня") не сохраняя логин/пароль в куках? Я не вижу способа.

хеширование здесь ничего не меняет.

При входе генерировать случайный ключ, записывать в БД и куки. При следующем входе ищем этот ключ и если находим, восстанавливаем сессию.

если кто то получит доступ к кукам, то с помощью этого ключа он получит доступ к аккаунту, если в куках логин/пароль, тоже получит доступ к аккаунту, в чем разница?