Das Problem sind halt die Anmeldedaten, vor allem das Passwort, das so unverschlüsselt übers Netz geht. Eine Möglichkeit ohne SSL wäre ein Client Script in die Anmeldung einzubauen, das den öffentlichen Schlüssel enthält und das PW chiffriert bevor es an die POST Variable übergeben wird. Das kann dann nur der Server mit dem privaten Schlüssel entschlüsseln oder einfacher alle PW's werden verschlüsselt in der Datenbank gespeichert, dann wird das Chiffrat einfach mit dem Chiffrat in der Datenbank verglichen und der private Schlüssel muß auch nicht auf dem Webserver liegen. Auf den Clients muß dann hat Scriptausführung erlaubt sein. Geht ab auch wenn das Script per Zertifikat signiert ist.