Более того, немного подумав, скажу ещё,
что используя этот способ (немного модифицированный) можно вообще защитить приложение от зловредных действий атакующих (перехватывающих трафик), без использования SSL ))
Данные, конечно, перхватить можно, НО повлиять на поведение приложения и прочитать пароль - нет (если не подбирать хэши). Этого вполне будет достаточно для систем управления контентом.
Суть: Нужно при каждом обращении к серверу менять хэши в сессии и передавать каждый раз хэшированный пароль серверу. Возникает вопрос - если при передаче от клиента пакет перехватят и подменят команду (например $_POST['action']..). В этом случае, можно использовать поддтверждение команд (причём с разными хэшами), т.е. если атакующий может подменить первую команду, то подтверждение, незная пароля, сделать не сможет.
Правда клиента лучше делать на ActiveX или Java...
Вообще это похоже на то как работает авторизация Apache (через .htaccess), только с шифрованием пароля и сменой хэша..
P.S. Если есть аргументы не впользу этой мысли, буду рад выслушать.
)