Выходит, что так. Если, конечно, разработчик сайта не знает, что в куках нужно хранить ID сессии (если очень надо - то и в шифрованном виде), а не пароли. И ещё про чудесный флаг HttpOnly в куки.