фигня все ето с src=pass.js, тогда вся защита сводится к нулю...
надо писать на авяскрипте хэш-функцию(какуюнить несложную)...которая от логина и пароля генерит на выходе страницу типа: "gftwwe123Rmdkxpwe0.html", которая собстнно и делает редирект на закрытый раздел сайта...
единственный минус - нужно для каждого нового пользователя создавать страницу-редирект...
вот и все...
P.S>на яваскрипт тоже можно хорошие защиты писать...