Hallo,

Im Falle von Digest, gehen zwar keine Daten im Klartext raus, solange ich ich mit dem richtigen Gegenüber kommuniziere, allerdings weiß ich nie, ob ich mit dem richtigen Gegenüber kommuniziere und dieser kann das Verfahren jederzeit wieder auf Klartext umschalten. Als Nutzer ist der Gewinn also quasi Null.
eigentlich habe ich das verstanden, aber kann man nicht die Tatsache ausnutzen, dass in der .htaccess Datei auch der AuthName angegeben werden kann, der irgendwie dynamisch erzeugt sicher stellt, dass ich eben doch weiß, mit wem ich es zu tun hab?

nein, der Knackpunkt ist ein anderer, als du meinst. Angenommen, ich möchte mich bei meiner Bank einloggen. Dann rufe ich http://onlinebank.example/ im Browser auf, in der wohltuenden Gewissheit, dass die Anmeldenamen und Passwörter ja dank Auth-Digest verschlüsselt übertragen werden.
Aber wie kann ich sicher sein, dass der Server am anderen Ende der Verbindung auch wirklich der von meiner Bank ist? Vielleicht hat jemand die Seite täuschend echt nachgebaut und das DNS infiltriert? Oder vielleicht greift unterwegs jemand die Verbindung ab und leitet sie woanders hin um? Vielleicht hat jemand den Proxy gehackt, den ich benutze?

Das kann ich nur feststellen, wenn bereits die Login-Seite per HTTPS angeboten wird und mein Browser anhand des Zertifikats feststellt: Ja, das ist wirklich der, für den er sich ausgibt.

Ob man solche Paranoia wirklich braucht, ist aber eine andere Frage. Bei Onlinebanking oder Online-Zahlungsverkehr, meinetwegen. Sonst fällt mir aber im Moment kaum eine Anwendung ein, bei der ich den Aufwand für gerechtfertigt halte.

Ciao,
 Martin