Hallo,

-Wo ist das Passwort hier definiert?

var Ret = encode (form.pwd.value, 12)
  location = Ret + ".htm"

Hier siehst du, dass aus dem eingegebenen Passwort mit hilfe von einiger Stringbearbeitung und vielleicht auch Mathematik (so genau hab ich mir das da unten nicht angeschaut) eine URL erzeugt wird.
Diese wird dann aufgerufen. Also sieht man das Passwort nicht im Quelltext.

Aber: Wer einmal die Seite kennt, welche aufgerufen wird, der kann diese auch ohne das Passwort eingeben zu müssen erneut aufrufen. Wenn z.B. jemand die vermeintlich geschützte Seite in einem Internet Café ansurft, dann kann der nächste Surfer sie in der History wiederfinden.

Wenn du eine Passwortabfrage willst die wirklich funktioniert, dann nimm .htaccess. Dieses Problem taucht außerdem täglich auf, suche im Archiv und die wirst feststellen, dass eine richtige Passwortabfrage vie JS nicht geht. Nie. Vergiss die Idee einfach.

(Und wer argumentiert: Aber ich will doch nur xyz abhalten - wobei xyz = Neugierige Surfer / Script-Kiddies / Meinen Opa / ... -, der kann sich die Passwortabfrage auch sparen. Der Inhalt ist entweder so schützenswert, dass sich .htaccess lohnt, oder er ist es nicht.)

Viele Grüße,

Stefan