Hi Clemens,

Wie ist das bei einem "normalen" Zugriff auf ein
.htaccess-geschütztes Verzeichnis, wird da nicht
auch das PW unverschlüsselt übermittelt, oder
geschieht das gehashed?

das kommt darauf an, welche Authentifizierungsmethode
tatsächlich verwendet wird.

ServerAuthentication ist ja nicht _eine_ Methode, son-
dern ein Bündel solcher Methoden.
Der Apache unterstützt zwei unterschiedliche Verfahren:
(http://httpd.apache.org/docs/mod/core.html#authtype)

1. AuthType Basic:
   Dort werden die "credentials" (Benutzername und
   Passwort) unverschlüsselt (naja, Base64-encoded,
   _das_ ist aber reversibel) übertragen. Gespeichert
   werden sie dann auf dem Server so, wie der jeweilige
   Server das kann: Apache unter UNIX also in "crypt()"
   gehashed, Apache unter Windows bietet drei ver-
   schiedene Möglichkeiten (Klartext, MD5 und SHA).

2. AuthType Digest:
   Dort werden die "credentials" bereits vom Client
   MD5-gehashed und auf dem Server mit dem dort eben-
   falls gehashed gespeicherten String verglichen.

"Digest" ist natürlich die bessere Methode - es sei
denn, die Browser verstehen sie nicht.

Und genau das ist das Problem: Weder Netscape 4.x noch
6.x (!) verstehen "Digest", während Opera 4 und M$IE 5
das schon lange können. Mozilla 0.9.7 und damit auch
Netscape 7.0 verstehen inzwischen "Digest" ... aber wer
möchte gerne alle Netscape4&6-Benutzer ausschließen?

Wieder ein Grund mehr, alte Browser auszurotten ... ;-)

Viele Grüße
<img src="http://www.schroepl.net/projekte/gzip_cnc/gzip_cnc.gif" border=0 alt=""> Michael