Wenn SSL unsicher ist, dann ist es kein Stück besser, einen Hash per JS zu erzeugen und den im Klartext zu übertragen - denn dem Angreifer ist es schlicht egal, ober das per tcpdump mitgeschnittene Passwort oder dessen (halt auch per tcpdump mitgeschnittenen) Hash für die Authentifizierung überträgt.

Zumindest wird aber das Klartextpasswort geschützt - das spezifische Login natürlich nicht. Es soll ja Menschen geben, die bei jedem Dienst dasselbe Passwort verwenden, da kommt man dann mit dem Hash nicht so schnell ans Ziel als mit dem Klartext-Passwort.