Moin,

Der Apache ist noch nicht mit SSL konfiguriert, daher werden manchmal Passwörter von einem Client über das Internet unverschlüsselt an den Apache übertragen.

• Da warnen ja immer alle vor -

[wirres Zeug gesnippt]

Kann mich jemand jetzt noch aus der Ruhe bringen? Sollte ich mir Sorgen machen?

Das Problem ist eher nicht in deinem internen Netz zu suchen. Wenn da Sachen ablaufen denen du nicht vertraust hast du eh verloren.

Der Hauptgrund gegen die unverschlüsselten Passwörter ist die Übertragung quer durchs Internet. Führ einfach mal traceroute auf einen beliebigen Rechner aus und du wirst sehen dass in den meisten Fällen ca. 10 bis 20 unterschiedliche Router dazwischenliegen und im Zweifelsfall kannst du keinem davon vertrauen. Dazu kommt noch dass diese Router evt. an Netze angeschlossen sind und jemand in diesem Netz mitsniffen kann.

Um das mal auszuprobieren besorg dir Ethereal (gibts auch für Windows[1]) und setz das mal in deinem eigenen Netz ein. Wenn du keinen Switch benutzt kannst du sofort alles sehen was in deinem Netz abläuft, mit Switch wird es nur unwesentlich komplizierter (google mal nach dsniff).

Fassen wir zusammen: Das Passwort läuft im Klartext durch rund ein dutzend Rechner denen du nicht vertrauen kannst und die potentiell noch mit mehr unvertrauenswürdigen Rechnern verbunden sind.

[1] Ethereal für Windows: http://www.ethereal.com/distribution/win32/, dazu wird noch libpcap benötigt: http://netgroup-serv.polito.it/winpcap/install/default.htm

--
Henryk Plötz
Grüße aus Berlin