was meinst Du mit der unverschlüsselten Datei?

Na wenn der Webserver auf dem die Seite läuft, bei nicht vorhandenen Dateien (z.B. blabla.html) das sog. "Verzeichnis-Browsing" aktiviert, dann werden alle möglichen Dateien sichtbar. Mit etwas Verstand kann dann jeder die Paßwörter herausfinden, wenn man die entsprechende Datei anklickt, weil sich dann ein Download-Fenster öffnet...

Umgehen kann man das durch entsprechende Eintragungen in der Datei .htaccess (Google und Forum informieren).

MfG