Hi Andreas,

.htaccess Passwörter werden ja sowieso per crypt() verschlüsselt.

War UNIX als Plattform irgendwo explizit genannt worden? Falls ja, dann
ist Deine Aussage in Ordnung. (Falls nein, gibt es aber mit MD5 und SHA
ähnlich gute Verschlüsselungen.

Allerdings bezieht sich Deine Aussage leider ausschließlich auf die
Speicherung des Kennwortes auf dem Server - was während der Übertragung
passiert, hängt vom AuthType ab. Und da fast alle bisher Authtype Basic
nutzen (müssen ...), wird das Passwort dabei Base64-"codiert", also so
gut wie im Klartext übertragen.

Die Zugangsdaten für die DB könnte man auch verschlüsselt speichern,
aber da man die Zugangsdaten eh so ablegen sollte, dass kein Zugriff
aus dem www möglich ist ist das nicht ganz so wichtig.

Da man aber letzteres nicht 110%ig garantieren kann, schadet ersteres
auch nichts, wenn man nur die Einwegfunktion der Passworte braucht.
(Wir speichern die Passworte unserer Kunden auch nur verschlüsselt -
das heißt dann aber beispielsweise, daß ein Kunde uns am Telefon nicht
fragen kann, wie denn sein Passwort hieß, daß er vergessen hat - wir
können es auch nicht lesen, nur ein neues auf seinen Wunsch setzen.
Einige sehr triviale Kennworte _können_ wir lesen - beispielsweise wenn
das Kennwort gleich dem Benutzernamen ist, meine Admin-Oberfläche macht
ein paar sophisticated guesses ... wir kennen unsere Pappenheimer ... ;-)

Viele Grüße
      Michael