_Werewolf_,diny
Не тупите. Как он может сменить пароль, если старого пароля не знает? Сейчас абсолютно на всех сайтах, где можно сменить пароль, требуется введение старого пароля. Так бы давно уже все меняли пароли жертвы путем CSRF, просто подставили бы нужный пароль в поле и заставили бы жертву кликнуть на ссылку.

присоединяюсь к общему мнению: сейчас никто не хранит ни пароли, ни их хеши в куках.
Конечно, пароли хранить в куках - идиотизм, но, имхо, нет ничего плохого в том, чтобы хранить md5-хеш пароля в куках. Изъяна системы в этом нет. Если у пользователя стоит сложный пароль в 6 и более символов, причем пароль бессмысленный, то никаким ты брутером хэшей и за 100 лет не взломаешь. В таком случае, при потенциальном взломе, виноват будет только юзер, а не система. Тем более, если в системе нет XSS уязвимостей.