1) Por supuesto que debes verificar tu sesión . .de echo eso es lo único seguro que te valida tu sesión .. No sé para que usas cookies con datos tuyos .. pero todos esos datos deberían ir en tu sesión. (a no ser que tengas algún sistema de "recordar sesión" o similar).

2) .. Basa todo en tus sesiones .. Las cookies debería de ser secundario para ofrecer esa aparente funcionalidad de "recordar sesión" a los usuarios que quieran trabajar así con el riesgo que eso puede tener (imagina PC's en lugares públicos).

3) .. Si no te importa que puedan tomar esa contraseña de tus usuarios .. entonces la pregunta que te haría yo mismo es: Para que usas contraseñas? ... Así de simple es la respuesta. Si uno pone una "puerta" en algún sistema se supone que es para que no se pueda abrir más que con su llave .. sino no tiene sentido. No pongas contraseñas a tus usuarios.

El tema de guardar tu contraseña en md5() encriptada en un sólo sentido (no se puede desencriptar) .. tanto en tu cookie como en tu Base de datos .. como ya conoces es para evitar que alguien la tome. El problema que tienes de "recordar contraseña" no se resuelve intentando desencriptar esa contraseña ..sino en generar una nueva contraseña .. se la comunicas a tu usuario (viá e-mail .. en pantalla ..etc) y actualizas el campo de tu BD correspondiente. De ahí tu sistema seguro que tendrá opción para modificar la contraseña del usuario (que lo haga el mismo).

4) .. PHP como lenguaje del lado del servidor no "sabe" si trabajas en su salida con marcos o no .. A PHP a nivel de seguridad no le afecta este hecho .. tu sólo debes validar toda variable con valor esperado (sesiones .. cookies .. etc) en todos los scripts (páginas) que llames en tu frame-set .. incluido el própio frame-set (el que llama a las otras páginas en sus frames).

5) .. esperaremos xD.

Un saludo,