Moin,

Bedenke aber auch, dass HTTP-Auth bei jedem Seitenaufruf unverschlüsselt Passwort und Benutzername mitsendet. Bei Sessions etc. ist das nicht nötig.
Falls also wirklich jemand 'mithört' ist HTTP-Auth deutlich unsicherer...

Jain, falls jemand mithört ist die Sicherheit von Basic Auth der von Sessions in etwa gleichwertig da bei Sessions das Passwort mindestens einmal unverschlüsselt durchgeht und später immer wieder die Session-ID. (Alles natürlich unter der Vorraussetzung, dass kein SSL benutzt wird.)

Allerdings ist HTTP Authentication nicht gleich HTTP Authentication: Das beschriebene gilt nur für Basic Auth. Es gibt allerlei alternative Authentifizierungsmechanismen die dieses Problem nicht haben, aber ohne SSL auskommen: Schön standardisiert zum Beispiel Digest. Oder Microsoft- bzw. Windows-spezifisch NTLM oder Kerberos (läuft mir unverständlicherweise unter "Negotiate"). (NTLM wird neuerdings sogar nicht nur vom IE gemacht, sondern etwa auch von Mozilla, aber das Protokoll ist furchtbar krank.)