Tach!

aber irgendwie scheint mir das schon etwas unsicher zu sein, das Passwort trotz SSL einfach in der URL zu übertragen.

Das ist genauso unsicher, wie die der gesamte Rest der verschlüsselten Übertragung. Wie bereits gesagt, wird die URL erst nach dem Aufbau der Verschlüsslung übermittelt.

Das Script soll ja auch nicht unbedingt vom Browser aus angesprochen werden können, sondern wenn möglich nur von diversen Apps auf PC´s und mobilen Endgeräten.

Auch die können HTTPS (nutzen).

dedlfix.