Bueno si es tema de debate...

pero me referia a que si ya sabe la clave HOLA no me refería a usarlo en Hotmail, FB o lo que sea, sino en la aplicación o logueo que creamos...

cuando hay un evento onsubmit se envían los datos, (desencriptados) antes de que lleguen al Server, obtuvimos clave y usuario... entonces sistema de logueo vulnerable, en cambio, si envío antes de salir del cliente los puede obtener, claro, pero algo como.. asd45asdg263 (es un ejemplo) no podrá hacer mayor cosa, ya que SHA1 o MD5 no son reversibles...

Si JavaScript esta deshabilitado, cosa que es muy rara hoy en día, simplemente no loguea, para no correr el riesgo antes mencionado...

si no se encripta en el login, debería tener SSL, ya por un canal seguro cambia la cosa...

no quiero formar controversia, la idea es ayudarnos entre todos, si me equivoco, gracias! los estaré leyendo..