password以外の(例えばセッション情報等の)ログインに必要な情報は(結局password同様)クライアントが持ってるんだし
それが漏れたら一緒でしょ