nee, nützt auch nix! Der Punkt ist: Der Browser liest nach dem Script-Bereich weiter und stellt brav den eigentlichen HTML-Teil dar, während die neue Adresse geladen oder angezeigt wird. Es geht bei der Sache nicht um die Verschleierung einer Adresse sondern letztlich darum, zu verhindern, daß der Besucher einer Passwort-geschützten Seite den Schutz umgeht, indem er direkt auf den geschützten Bereich zugreift.

Nen wirklich gesicherten Bereich kannste via JavaScript
eh nicht erreichen ,man kann es ja z.B. auch einfach
abstellen.
Sowas ist nur Serverseitig zu erreichen mit CGI , ASP
oder so zu erreichen.

gruss
Jens