Ok, das ist trotzdem suboptimal - aber: Das Kennwort per get als Klartext oder einfachen Hash zu übertragen ist keine Alternative.

Welches Angriffsszenario genau soll durch das Gehashe überhaupt bekämpft werden?

Wenn du dem Script einen Salt für den Hash zur Verfügung stellst, sei es die IP-Adresse, sei es die Serverzeit oder sei es ein Zufallstoken: Wenn ich das angreifen will, hole ich mir halt einfach vor jedem Versuch einen Token ab.

Ich verhindere damit höchstens, dass eine fremde Website das Script direkt einbinden kann. Oder sehe ich das falsch? Dieses Szenario versuchst du ja auch mit der Referrer-Prüfung zu bekämpfen. Das sind aber alles letztlich ineffektive Methoden, die den Angriff nur ein wenig schwieriger gestalten. Effektiver wirkt die Sperrung des Nutzernamens und der IP. Allerdings kann ich auch dann von mehreren IPs einfach alle möglichen Nutzernamen durchspielen.

Gut, das sind aber Schwierigkeiten, mit denen jede Anmeldung im Web zu kämpfen hat, nicht allein dein spezifisches Konzept.

Mathias