So wie ich den entsprechenden RFC verstand, wird nur das Password verschlüsselt und nicht der Name des Users (username).

Den Artikel kannte ich noch nicht. Dazu aus offizieller(er) Quelle. Noch mehr zu lesen.

Das Passwort wird verschlüsselt, der Username nicht.

Oh! Hier habe ich mich vertan, sollte natürlich genau anders rum sein.

Das ist allerdings kein Problem des Authentifizierungsverfahrens. Man sollte schon aufpassen, was man wo eingibt.

Das ist richtig. Kann aber dennoch (leicht) passieren. ;-) Und warum nicht schon der Benutzername verschlüsselt wird, bleibt mir immer noch rätselhaft. Immerhin ist es damit leichter, schon mal an den Benutzernamen zu kommen.

Du könntest HTTPS verwenden. Dann kannst du auch unbesorgt Basic-Auth verwenden.

Mit HTTPS habe ich das Spielchen mit dem Abhören der Header noch nicht ausprobiert. Das werde ich dann ebenfalls mal ausprobieren. Klingt soweit eigentlich logisch, dass die Authentifizierung von HTTP- auf HTTPS-Header umgestellt wird. Aber da man nie wissen kann, ... frage ich lieber. ;-)

Manchmal ist es gut, sich einfach mal mit jemandem austauschen zu können.

Bereits die Authentifizierungsdaten sind verschlüsselt.

Dann werde ich SSL installieren.

Oder gibt es da sonst noch was?

VPN, SSH.

SSH benuze ich, um auf den Server zu kommen. D.h. zur Wartung der Maschine. Aber kriegt man damit auch die Authentizierung dem Apache gegenüber via Browser hin?

Mit VPN muss ich mich noch beschäftigen.

Danke!

Chris