Guten Tag,

Und warum nicht schon der Benutzername verschlüsselt wird, bleibt mir
immer noch rätselhaft. Immerhin ist es damit leichter, schon mal an den
Benutzernamen zu kommen.

Was ja nicht schlimm ist, wenn das Passwort ausreichend gut gewählt ist. Ist es das nicht, ist es IMHO eh egal. Denn der Username ist meist keine kryptische Zeichenkette.

Mit HTTPS habe ich das Spielchen mit dem Abhören der Header noch nicht
ausprobiert. Das werde ich dann ebenfalls mal ausprobieren. Klingt soweit
eigentlich logisch, dass die Authentifizierung von HTTP- auf HTTPS-Header
umgestellt wird. Aber da man nie wissen kann, ... frage ich lieber. ;-)

Dazu musst du aber den Datenstrom direkt mitschneiden, beispielsweise mit tcpdump oder Wireshark. Denn wenn die Daten in deinem Browser ankommen, sind sie schon entschlüsselt. Es wird übrigens nicht von HTTP- auf HTTPS-Header umgestellt, sondern HTTP wird eine Netzwerkschicht tiefer zusätzlich verschlüsselt. An dem verwendeten Protokoll ändert sich erst mal nichts.

SSH benuze ich, um auf den Server zu kommen. D.h. zur Wartung der
Maschine. Aber kriegt man damit auch die Authentizierung dem Apache
gegenüber via Browser hin?

Man kann mit SSH einen Tunnel aufbauen und über diesen verschlüsselt kommunizieren. Das funktioniert dann so ähnlich wie ein VPN.

Gruß
Christoph Jeschke