Te nem olvastad el, hogy kliens oldali password restriction ellenözrésekről meg szerver oldalon nincs cleartext-ekről beszélt a kolléga.
Hogy mit is ért a session-ben tárolásban arra direkt rákérdeztem, de sajnos megint csak azt a marhaságot kaptam, hogy sehogy nem tárolunk szerveren cleartext password-öt, még memóriában sem.
Szerintem hagyjuk. Aki szeretne az ellenőrizzen password restriction-t kliens oldalon és a többi hülyeséget, csak ne találkozzak ilyen oldalakkal :)