Moin!

Aehm... ihr redet hier ueber digest-auth, wie wenn dabei einfach der MD5-Hash eines Passwortes uebertragen werden wuerde. Das ist aber nicht so. Der MD5-Hash wird bei digest-auth ueber mehrere verschiedene Sachen gebildet, die sich bei jedem HTTP-Request aendern. Deswegen kann man den Hash *nicht* wiederverwenden; es nuetzt also nichts, einen abzufangen. Siehe RFC 2617.

Nö, so reden wir eigentlich nicht. digest-auth hat leichte Vorteile gegenüber basic-auth. Aber ein formularbasiertes Login-Formular, dessen Passwort vor dem Absenden mit Javascript MD5-gehasht wurde, bietet keinerlei Vorteile gegenüber dem ungehashten Senden des Passwortes.

- Sven Rautenberg