Moin Michael,

warum sollte der Spion das Passwortfeld verwenden?

Er kann doch einfach den URL absaugen (LWP::UserAgent etc.)
nd den belauschten Header mit senden.

Ja, dann hat er aber auch nur das PW in verschlüsselter Form (wird ja schließlich schon am Client verschlüsselt). Und den gleichen Header kann er auch nicht nehmen, weil die keine gültige SessionID enthält.

Bis später!
Peter