Nunja, das Standardverfahren um den Übertragungsweg von HTTP-Anfragen abzusichern, ist eine HTTPS-Verbindung, also eine mit SSL bzw. TLS gesicherte Verbindung.

Aber es ist natürlich auch möglich Integritäts- oder Inhaltsschutz auf Anwendungsebene einzubauen, wenngleich kryptographische Operationen immer ein wenig trickreich sind, weil man mit kleinen unscheinbaren Anwendungsfehlern sehr schnell aus einem mathematisch sicheren Verfahren ein praktisch unsicheres machen kann ;-)

Eine Prüfsumme alleine bietet natürlich noch keinen Manipulationsschutz, weil ja unterwegs sowohl die Prüfsumme als auch der Inhalt manipuliert werden könnte. Und Sicherheit darauf zu basieren, dass bestimmt keiner die genaue Funktionsweise eines Programmes kennt hat sich historisch gesehen auch immer als ausgesprochen dumme Idee herausgestellt. Ich würde HMAC mit dem Prüfsummenalgorithmus der Wahl oder ein Verfahren wie den Digital Signature Algorithm empfehlen.

Ein Passwort würde ich entweder verschlüsselt übertragen, oder, noch besser, gar nicht übertragen, sondern als Grundlage für einen Zero-Knowledge-Beweis verwenden.