Hallo Kati,

Die Länge dieses Threads hängt nicht unwesentlich mit
(immer noch) fehlenden Teilen Deiner Aufgabenstellung
zusammen.

also es gibt zwei Textfelder - kennung und password,

müssen das Textfelder sein, oder hast Du nur Textfelder
verwendet, weil Du nichts anderes kennst?
(Ist HTTP Server Authentication - also das kleine
Browser-PopUp, in welches der Benutzer seine Kennung
und ein Passwort eingibt) von Deiner Aufgabenstellung
explizit verboten?)

mit dem sich der User in einer mysql-DB einloggen
kann.

Was genau steht auf Server-Seite noch zur Verfügung?
(Apache?)

Zum Abschicken dieser Daten nutzte ich zuerst einen
submit-Button (post),

Das paßt zum Textfeld - aber siehe oben.

die Daten - sobald sie auf dem Server eingelangt
sind - habe ich mit $HTTP_POST_VARS ausgelesen,

Für das, was ich vor habe, würdest Du an dieser Stelle
eine kleine Änderung vornehmen müssen.
(Server Authentication überträgt die credentials nicht
im Body, sondern in Form von HTTP-Headern.)

Cookies gesetzt

Um die Authentifizierung immer wieder mit zu senden?
Das kann der Browser bei HTTP Authentication viel
eleganter selbst.

und die entsprechenden Operationen in der mysql-DB
durchgeführt.

Welche sind das? (Nur ganz abstrakt.)
Mußt Du ein Session-Konzept umsetzen oder nur eine
Authentifizierung durchführen?

Jetzt habe ich den Button durch einen Link ersetzt,
in welchem ich beim Abschicken auch die content-
Variable setzten möchte und die kennung mit dem
zuvor mit javascript verschlüsselten Password
anhängen möchte.

Die wesentlichste offene Frage lautet: Was mußt Du mit
dem Passwort auf dem Server alles tun _können_?

Reicht es Dir, wenn Du seine Korrektheit überprüfen
kannst? In diesem Falle darfst Du das Passwort client-
seitig mit einer Falltürfunktion verschlüsseln, d. h.
so, daß der Server es _nicht_ wieder entschlüsseln
kann. Auf dem Server speicherst Du das Kennwort in
ebenfalls veschlüsselter Form und vergleichst bei de
Authentifizierung beide Strings - fertig.

Bist Du aber darauf angewiesen, das Original-Passwort
auf dem Server noch zu kennen, dann mußt Du es (ent-
weder nur, oder zusätzlich) auch unverschlüsselt im
Server speichern (um z. B. einem Anwender sein ver-
gessenes Passwort zumailen zu können etc.).

Ob es (von Verfahren her) so richtig ist, weiß ich
nicht

Das hängt von Deiner Aufgabenstellung ab - nicht von
Deinen Kenntnissen.

Also wenn ich den Sinn der Sache auch richtig
verstanden habe, muss ich den Password am Client
verschlüsseln

Ja.

(also mit javascript)

Nein! Nicht nur. Jetzt kommen wir zum nächsten offenen
Problem: Mit welchen Browsern soll das Ganze laufen?

Fast alle Browser können MD5 als fest eingebaute
Funktion - nur Netscape (bis inklusive 6.2) nicht.

Würdest Du Netscape ausnehmen dürfen, dann würde ich
Dein Problem mit Digest Authentication lösen wollen.

und an den Server (auch mit dem Schlüssel usw.)
schicken. Am Server wird dies entschlüsselt.
Ist es so, oder erzähle ich da nen Schmarrn ?

Du erzählst einen Lösungsweg. Ob der zu Deiner
Aufgabenstellung paßt, kann ich mangels Information
über Deine Aufgabenstellung nicht entscheiden.

Viele Grüße
      Michael