come dice Andrea, proteggere una pagina con js serve a ben poco. Basta aprire il source della pagina per prendere user e password o prendere l'url della pagina e andarci direttamente evitando la form di login