Moin,

Ich finde auf jedenfall, dass digest kein Quaentchen mehr
Sicherheit bietet.

"Passwort im Klartext durch die Leitung jagen" kommt mir gegen "Das Passwort geht gar nicht mehr durch die Leitung, dafür gibt es jetzt einen Schutzt gegen Replay-Attacken und sogar eine Methode die Integrität des übertragenen Bodys sicherzustellen[1]" schon unsicherer vor. Basic kann nicht mal vor passiven Mitlesern schützen, Digest hingegen schützt gegen passive Mitleser, aktive Angreifer (die selber Pakete senden) und kann sogar gegen Männer-in-der-Mitte (die Pakete abfangen und ersetzen können) schützen.

Wenn natürlich jeder sein Passwort anschließend ohnehin im Referer durch die Gegend bläst... ;-)

Da braucht man das Klartext-Passwort ja nicht mal mehr.

Genau, du müsstest 'nur' noch einen 128bittigen (je nach Wahl des Digest-Algorithmus) Wert erraten. Derjenige unter euch dessen Passwort nicht weniger als 128 Bit Entropie hat, der werfe den ersten Stein.

Vor allem hier wo die übertragenen Nutzdaten ja im Wesentlichen nicht vor fremden Blicken geschützt werden müssen, da sie ja auch jeder ohne Authentifizierung abrufen kann, hat Digest seine Stärken.

Ueberigens kannst du in V.2 prinzipiell dein eigenes
Authentifizierungs-Modul schreiben.

Mal sehen...

[1] Jaja, wenn die Browser mitspielen würden.