Для безопасности авторизации в личном кабинете без использования SSL используется следующий алгоритм:
# В cabinet.php в функции \__show_login генерируется случайное слово.
# В login.php случайное слово выводится в скрытое поле
# При нажатии кнопки "Вход" Javascript генерирует хэш от пароля + случайного слова и выводит его в скрытое поле
# Содержимое поля с паролем стирается
# логин, случайное слово, хэш и ip пользователя передаются в процедуру на стороне сервера
# в процедуре сравниваем переданный хэш с хэшем, вычисленным на стороне сервера
# если получилось, то пользователь считается авторизованным
# В cabinet.php в функции \__show_login генерируется случайное слово.
# В login.php случайное слово выводится в скрытое поле
# При нажатии кнопки "Вход" Javascript генерирует хэш от пароля + случайного слова и выводит его в скрытое поле
# Содержимое поля с паролем стирается
# логин, случайное слово, хэш и ip пользователя передаются в процедуру на стороне сервера
# в процедуре сравниваем переданный хэш с хэшем, вычисленным на стороне сервера
# если получилось, то пользователь считается авторизованным