Для безопасности авторизации в личном кабинете без использования SSL используется следующий алгоритм:
# В cabinet.php в функции \__show_login генерируется случайное слово.
# В login.php случайное слово выводится в скрытое поле
# Содержимое поля с паролем стирается, при нажатии кнопки "Вход" Javascript генерирует хэш от пароля + случайного слова и выводит его в скрытое поле
# логин и хэш передаются в процедуру на стороне сервера
# в процедуре сравниваем переданный хэш с хэшем, вычисленным на стороне сервера
# если получилось, то пользователь считается авторизованным
# В cabinet.php в функции \__show_login генерируется случайное слово.
# В login.php случайное слово выводится в скрытое поле
# Содержимое поля с паролем стирается, при нажатии кнопки "Вход" Javascript генерирует хэш от пароля + случайного слова и выводит его в скрытое поле
# логин и хэш передаются в процедуру на стороне сервера
# в процедуре сравниваем переданный хэш с хэшем, вычисленным на стороне сервера
# если получилось, то пользователь считается авторизованным