Hi speedy!

Gut, aber wenn meine Sicherheitsanforderungen durchschnittlich sind (d.h. es kann kein
_kapitaler_ Schaden durch einen evtl. Missbrauch entstehen), dann sollte ich auf SSL
verichten koennen, oder?

Ja.

Das Mithören ist auch nicht ganz so einfach. Schließlich gibt es keine Gewähr, das alle IP-Pakete den selben Weg durchs Netz nehmen. Ein potentieller Lauscher müsste da schon direkt an Deinem "Server-Eingang" seine Ohren aufspannen, um sicherzugehen, daß er alle Pakete des Requests mitlesen kann.
Viele User nehmen für ALLE ihrer logins die gleiche Pwd/Username - Kombination. Da ist bei einem Missbrauch vielleicht der Schaden bei Dir nicht groß, aber so ein "Generalschlüssel" sollte ja nun nicht bekannt werden. Vielleicht solltest Du Deine User auf die kleine Lücke hinweisen.

Gruß Frank

P.S. Ich bin mir nicht sicher, ob bei Nutzung des .htaccess-Mechanismus username/password auch im Klartext gesendet werden. Wenn nicht ist's vielleicht eine Alternative, wenn der Verschlüsselungsgrad sicher auch nicht hoch ist. Vielleicht weis hier ja einer 'ne Antwort.