Moin!

Im wesentlichen ja, mir ging es allerdings nur um:

Ich beschäftige mich für ein Projekt gerade mit dem Verschlüsseln von Zugangsdaten. Dazu möchte ich statt "Benutzername + Passwort + Hostname" einfach den zugehörigen Hash-Wert zur Kontrolle an den Server übermitteln.
Darauf hast Du geantwortet, dass es zwischen Klartext und SSL nichts mehr Vernünftiges gäbe. Dieser Meinung bin ich nicht.
Digest Authentification schützt die Zugangsdaten effektiv und das halte ich wie oben ausgeführt durchaus für ein Gewinn an Sicherheit, wenn auch nicht unbedingt für den betreffenden Dienst selbst.

Ok, man muß (und das ist unzulässigerweise nicht geschehen) bei allen Sicherheitsbetrachtungen unterscheiden zwischen den möglichen Angriffsszenarien.

Eine Maßnahme, die konkret für ein Szenario den Sicherheitslevel hebt, kann sich zwar auf das Szenario bezogen positiv auswirken, insgesamt betrachtet aber dennoch recht wirkungslos verpuffen.

- Sven Rautenberg