--==--
La solution proposée ici repose sur l'utilisation d'une URL https qui serait indentique en http.
En premier lieu, vous devez avoir activé un "mirroir" https de votre site, il suffit souvent de mettre en place un certificat auto-signé et un virtual host pour les connexions https.
En second lieu, vous installez crabs_todo normalement et dans le dossier login vous déposez un .htaccess qui contient les lignes suivantes :
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}/TODO/LOGIN/ [R]
<IfModule>
Adapter https://%{HTTP_HOST}/TODO/LOGIN/ à l'URL de votre installation apache
N'oublier pas de faire accepter votre certificat auto-signé une fois pour toute à vos navigateur, et par la suite le nom de connexion et le mot de passe ne passeront plus en clair sur le réseau.