Edit: läste igenom vad du skrev igen och ser att jag misstolkade helt..
Ja som sagt.. SSL är det ända rätta om man vill vara på det torra.
Den ända tryggheten att hasha lösenordet med javascript sha256 är ju att hackaren inte får reda på själva lösenordet som potentiellt kanske används av användaren till andra konton på andra sidor (typ mailkonto etc.). SÅ jag syftade inte på att det var någon ersättare till SSL.