Hola:

En ese caso, enviar el sha1 de la contraseña por la red no te brinda más seguridad que enviar la contraseña en texto plano.
¿Qué evita q un atacante capture el sha1 de la contraseña y lo envíe él?
Al final en el servidor, cuando recibas el sha1, vas a compararlo contra el q tienes en la base de datos.
Es como si ese sha se convirtiera al final en la contraseña del usuario.

La mejor forma de resolver ese problema es usando HTTPS.

saludos;

Nup_