Moin,

Digest-Authentication über SSL dürfte ganz akzeptabel sein.

Das ist Overkill, IMHO. SSL sorgt alleine sehr gut für den Schutz der gesamten Verbindung vor neugierigen Augen. Mit Digest Access Authentication holt man sich dann nur noch zusätzliche Probleme in's Boot, da der Internet Explorer das nicht beherrscht.

MD5-Digest, sondern auch noch über eine sichere, verschlüsselte
128-bit Verbindung fliesst und somit sehr sicher ist.

Die Schlüssellänge kann weit variieren.

Verwende die Digest-Authentication. Bei Basic wird das Passwort
in plain text übertragen. _Beides_ kann ein potenzieller Hacker
natürlich verwenden, nur, dass er bei Digest-Authentication das
Passwort nicht kennt, sondern nur den "Digest" davon und somit
"weniger" Information hat. Hätte er das plaintext Passwort könnte
er dieses ja auch bei anderen Logins (uns sei es nur ein Mailkonto
bei GMX, z.B.) versuchen (es sei denn, diese verwenden auch MD5).

Digest kann sogar noch mehr. Richtig[tm] eingesetzt kann es auch Replay-Attacken auf den selben Server verhindern, sowie das Abfangen und spätere Ausführen der Anfrage (bei Termingeschäften o.ä. evt. wichtig) und die Manipulation von Anfrage oder Antwort. Im wesentlichen kann Digest also alles was SSL kann, bis auf die Verschlüsselung des Datenverkehrs.

Meiner Meinung nach sollte man immer eines von beidem einsetzen, wenn die Zugangsdaten irgendeinen Wert besitzen (also nicht nur verwendet werden um jedem User seine eigene Ansicht zu präsentieren). Was man einsetzt hängt dann vom Wert der geschützten Daten ab: Wenn es nur darum geht unauthorisierte Zugriffe abzuwehren, die dabei anfallenden Daten aber unkritisch sind - wie etwa hier im Forum bei der Administration: die Daten kann man sich auch regulär im Forum ansehen, aber es wäre evt. untoll, wenn einfach jemand Administrationskommandos absetzen könnte - dann ist Digest Access Authentication über unverschlüsseltes HTTP angebracht. Wenn darüberhinaus die Daten geschützt werden müssen, halt SSL mit Basic Access Authentication.