Tag Martin!

Werden der eingegebene Username und das Kennwort im Klartext übertragen (vom Browser zum Server)?

Es gibt da verschiedene Moeglichkeiten, vor allem Basic und Digest Authentication.
Bei der Basic Auth, die meist verwendet wird, werden Username und Passwort im Quasi-Klartext uebertragen:
   To receive authorization, the client sends the userid and password,
   separated by a single colon (":") character, within a base64 [7]
   encoded string in the credentials.
base64-Encoding ist das, was oft in Mails verwendet wird. Die Bits werden da ein bisschen anders angeordnet, um's mal so auszudruecken, das ist aber keine Verschluesselung oder sowas. Es ist ein ziemlich einfaches Schema, und es gibt natuerlich Module, um sowas zu en/decoden.

Bei der Digest Auth ist ein wenig komplizierter. Hier wird ueber verschiedene Teile des HTTP-Requests sowie ueber eine vom Server vorgegebene nounce-value eine MD5-Checksumme gebildet. Und sowas laesst sich nicht decodieren.
Mehr zu alledem findest Du in der RFC 2617 http://rfc.fh-koeln.de/rfc/html_gz/rfc2617.html.gz.

Wie Du Deinen Webserver dazu bringst, die Digest Auth zu verwenden, und inwieweit das von den Browsern unterstuetzt wird, weiss ich aber nicht.

So long