Hallo,

Mache ich da irgendeinen Denkfehler?

Du hast vollkommen recht. Welchen String der Server nun vergleicht -
einen der nicht vorher MD5 verschluesselt wurde oder doch, ist voellig egal. Es bleibt immernoch ein einfacher Vergleich eines im Klartext ueber das Internet uebertragenen Strings. Der einzige Unterschied ist, dass Du ein anderes Passwort kennst, als der Server.
In meinen Augen absolut ueberfluessig. Also besser doch HTTPS ;-)

Gruss, Thomas.