Pués es una función hash, busca en google, el caso es que son funciones que no tienen marcha atrás, es decir una vez que tu password pasa por la función hash del resultado no puedes volver a obtener el password, la única manera que veo capturando el tráfico es intervenir y por ejemplo si es wifi con airpwn cambiar el script y cuando haga tu máquina el get del fichero js enviarle un script donde tengas esa función que lo que haga es lo que tu quieras (simplemente no hacer la hash, por ejemplo la función sin código valdría, o todo igual y quitar la parte donde convierte la password en asteriscos) y entonces ya sí el password se enviaría como un input normal del formulario (la password ya no serían asteriscos sería la password introducida).

No hay una aplicación directa entre las letras introducidas y un código por cada letra, si cambias una letra la hash cambiaría por completo

PD:No en el code que pusiste aparece la función que se llama al hacer el submit, pero esta función no es la encargada de hacer el sha-1, esta función del submit llama a otra función para hacer el hash de la password (Hex_sha1) que está en sha1.js.

Salu2

yo me referia a la parte donde los ******  aparecen


se que alli no se hace la conversion/ hasheo