Moin moin!
Einloggen könnte man sich ja auch mit dem md5-string, nur nicht mit einem "handelsüblichen" Browser, aber ich vermute das Leute die nicht im selben LAN sitzen und an die Zugangsdaten eines fremden Teilnehmers kommen bestimmt ohne große Schwierigkeiten z.B. den Quellcode des Mozilla dahin gehend modifizieren könnten, sich auch mit den md5-strings im Auth-Fenster einloggen zu können, oder? (ich könnte es nicht, ich wüßte aber auch nicht wie ich an die Zugangsdaten außerhalb meines lokalen LANs kommen könnte)
Du hast das nicht so explizit gesagt, aber es scheint mir, dass Du glaubst, bei der Digest-Authentication wird einfach der md5-Hash ueber die Zugangsdaten gebildet und dann statt des Username/Passworts geschickt. Das waere natuerlich ziemlich sinnlos, da der Hash an die Stelle der Zugangsdaten tritt, und zwar so komplett, dass man die Zugangsdaten an sich nicht mehr braucht. Der md5-Hash waere einfach der neue Zugangscode, und er liegt im Klartext vor (wenn jemand an der Leitung mitlauscht, meine ich).
Aber Digest Auth funktioniert anders. Der Webserver gibt dem Client eine staendige wechselnde Zeichenkette vor (nonce value). Der Client bildet dann die md5-Summe ueber diese nonce value zusammen mit Benutzernamen, Passwort, angeforderter URL und der HTTP-Methode. Wegen der staendig wechselnden nonce value aendert sich auch die md5-Summe immer wieder und kann also nicht wiederverwendet werden. Rueckschluesse auf die Klartext-Zugangsdaten sind auch nicht moeglich.
So long
Bier trinken fetzt!!!