Hallo Christoph!

Damit Verizone und Konsorten sich eine güldne Nase verdienen?

Naja, inzwischen bekommt man ja Zertifikate die die meisten aktuellen Browser (IE 5, Moz. 1) unterstützen für unter 20 EUR.

Aber Scherz beiseite (obwohl: so witzig finde ich das Gehabe bei denen gar nicht, aber egal), SSL kostet entweder Geld oder einen Aufwand, den einen die ganzen Browser nur damit danken, das sie ein Fensterchen aufmachen, das den normalen User total verunsichert.

Mit einem "ordentlich signierten" Zertifikat ja nicht.

Außerdem ist hier nur ein Paßwort zu verschlüsseln, dafür braucht man keine vollständig verschlüsselte Verbindung, die ja schließlich nicht nur Geld sondern auch kostbare Entropie verbraucht.

Aber das was Du vorschlägst (wenn ich das richtig interpretiere) ist ja keine wirkliche Verschlüsselung. Wenn Du z.B. per Javascript einen md5-Hash des Passworts sendest, bekommt man zwar kein Klartext-Passwort mehr, aber auch mit diesem Hash kann man Zugriff erhalten. Digest Auth ist in "Nicht kontrollierbaren Umgebungen" AFAIK noch nicht wirklich geeignet da es viele weit verbreitete Browser nicht ordentlich unterstützen. Außerdem gilt mod_auth_digest selber noch als "experimental".

Die kann man für andere Sachen (Shopbestellung, Webmail, etc) besser nutzen.

Da sowieso ;-)

Ein Problem sehe ich darin, dass mod_ssl/openssl letzte Zeit des öfteren durch mehr oder weniger gefährliche Bugs aufgefallen sind -> zusätzliches Risiko.

Grüße
Andreas