NeoNox, далее не всякий ssl помогаю спать спокойно.
А криптуется пароль обычным стандартным апачевским криптованием. На пвп-лаб есть бесплатный скрипт, позволяющий при помощи базоваой авторизации криптовать пароли. Что мешает поступить наоборот? Правильно - сессии. А зачем пароль раскриптовывать, если можно его передать в HTTP запрос уже закриптованным? Да я не буду знать явно пароль, но использовать я его смогу... Даже если криптование будет основанно на сессиях, не апачавских, как на последних коммерческих web-серверах...