ma perchè javascript?
Nel caso in cui non si possano utilizzare le SSL...

Al momento della registrazione, inserisco nel database la password, ma non la password in se, ma l'hash in md5.
A tutti gli effetti questo metodo è da considerarsi come il gioco delle tre carte, in quanto l'hash stesso diviene la password di accesso e siccome viene inviato in chiaro si perde solo tempo...

Alcuni amministratori dicono di utilizzare questo metodo per tutelare la privacy dei loro utenti, perchè in questo modo neanche loro sono a conoscenza delle password degli utenti, ma nn è vero

Infatti disabilitando il javascript nella pagina di login e utilizzando l'hash come password di accesso account io posso loggarmi nel sistema e figurare come un'altro utente. Basta prendere l'hash dal database.