По http из браузера дёргается адрес, у которого прямым текстом (попадает во все логи хостеров/провайдеров, просматривается на соседних компах в пределах подсети, просматривается всеми установленными плагинами/расширениями/надстройками) логин-пароль передаётся.. Я об этом.
Ну допустим хостерам/провайдерам и так Ваши пароли все известны. А если и не известны — то узнать их это не бином Ньютона, имеючи полный доступ к файловой системе. А логи сервера — что общедоступны у Вас что ли?
Ну да, хранится история в браузере, и чо? Отснифить также могут, конечно. Если задаться целью.
Защищать надо соответственно ценности файлика имхо.
Самый крутой пароль всё равно может быть снят с помощью ректального криптоанализатора.
У меня с клиентом случай смешнее был. Он пароли на ФТП хранил в файлике. А файлик случайно положил в папку где шара — так ему удобнее было. А потом пытался на меня наехать, типа это моя ЦМС взломана и она не безопасна. Пришлось доказывать с логами на руках. Хорошо хоть признался в своём косяке и извинился потом
Вывод: почаще делайте бекапы, сложные пароли на Вайфай, и не открывайте на просмотр из подсети рабочий комп.
//UPD Я понял так, что тема про передачу сделанного Заказчику, с логинами/паролями. Я при сдаче работы обычно передаю 1 PHP файлик. При его запуске он скачивает на сервер скрипты, распаковывает, ставит права, а потом удаляет сам себя. Таким образом, если Заказчик не хочет дать мне логин/пароль на ФТП, то и не надо — пусть сам ставит.