Ваше намерение не посылать простой пароль абсолютно похвально. Но простое хеширование пароля на стороне клиента и отправка хэша вместо простого пароля не сильно поможет. Потому что, хотя для аутентификации используется не простой пароль, теперь вместо него используется хеш. Таким образом, злоумышленник, который подслушивал сообщение, просто использовал бы хеш вместо простого пароля. Так что это мало поможет, не говоря уже о том, что у клиента не будет поддержки JavaScript.
Однако стоит упомянуть, что существуют схемы аутентификации, которые работают таким образом (например, Схема аутентификации доступа к дайджесту HTTP ). Но все же должен быть защищенный и надежный канал, на котором пароль первоначально отправляется на сервер. Так что HTTPS по-прежнему является обязательным.