Beim Ausführen der Abfrage ermittle ich zuerst die Client-IP-Adresse. Dann nehme ich das Kennwort + die IP und bilde daraus einen MD5. Den übertrage ich an den Server.
Das übertragene Kennwort ist also an die aktuelle IP-Adresse gebunden.

Vergiss die IP-Adresse und generiere serverseitig Zufallszahlen (Tokens). Die schreibst du ins JavaScript und speicherst sie gleichzeitig serverseitig. Bei der Authentifizierung bildest du aus einer Zufallszahl und dem Passwort einen Hash, serverseitig prüfst du die Übereinstimmung.

Der Sinn davon ist aber gering. Bei SSL besteht soweit ich weiß nur ein kleines Problem beim Senden von vertraulichen Daten im GET-Request. Die URI sollte im Browser nicht gespeichert/gecacht werden. Aber vermutlich ist es mit Hash zuverlässiger.

Mathias