veramente la password non è univoca per niente, di univoco tendenzialmente c'è solo la username. Poi non credo che il forum questo metta la password nel cookie, o se lo fa ci mette l'md5 quindi la cripta, non in chiaro. Ma un conto è il cookie, un conto è la session.