SSL kann sich der Kunde nicht leisten.

Sicherheit soll erhöht werden.

Fachkundige Beratung kann sich der Kunde also ganz offensichtlich auch nicht leisten, wenn so etwas dabei heraus kommt.

Ja.

Ein User muss sich zunächst einloggen. Hierfür bekommt er ein Formular mit 2 sichtbaren und 2 unsichtbaren Feldern:

sichtbar: (wie bei einem üblichen LogIn)
        Name
        Passwort

unsichtbar:
        zufälliger von JavaScript generierter String -> späterer Verschlüsselungs-Key
        Hash des Passworts; wird von JavaScipt aktuell gehalten bei Eingabe des Passwortes

Dass dieses „unsichtbar“ absolut total sichtbar ist, wenn der Benutzer sich nur die Mühe macht, nachzuschauen, ist dir hoffentlich bewusst.

Ja. Sollte aber keine Rolle spielen. Wenn er den Passwort-Hash oder den Verschlüsselungs-Key händisch ändert kann er nicht eingeloggt werden. Wenn dieser ausgelesen wird, dann habe ich den gleichen Angriffspunkt wie auch bei TLS, nämlich beim initialen Schlüsselaustausch.

Per AJAX lassen sich nun vom Server die Daten nur mit diesem Verschlüsselungs-Key verschlüsselt nachladen. Das aufgerufene JavaSkript kennt jedoch diesen Key auch und kann die Daten Client-Seitig entschlüsseln.

Und welche Stelle in der Datenübertragung glaubst du jetzt mit dieser „Verschlüsselung“ abgesichert zu haben, und wo gegen?

Nach dem Schlüsselaustausch kommen die Daten nur noch verschlüsselt vom Server und können nur noch von demjenigen, der eingeloggt ist überhaupt erst abgerufen werden und von diesem nur entschlüsselt werden, wenn er den Verschlüsselungskey kennt.