Hallo!

Aber dann sagt mir mal - warum sollten gerade die Banken auf htaccess verzichten?

warum nicht? Die Annahme, Basic/Digest Authentication würde das Maximum der möglichen Sicherheit darstellen, ist falsch.

Ja, das ist mir wohl bewußt, aber wenn  ich Sven richtig verstanden habe, haben alle anderen System den Nachteil, das man sich immer mehr schlecht als recht behelfen muß(wie im anderen Posting von mir :-)), den Client auf der nächsten Seite wiederzuerkennen, da ja keine Benutzerdaten mitgesendet werden.

Banken verlassen sich einerseits auf proprietäre Systeme (meist Java-Applets - natürlich stellt eine "nicht standardisierte Kommunikation" nur eine geringe Hürde dar; der Vorteil liegt aber in erweiterten Möglichkeiten im Hinblick auf Client-Identifikation), auf SSL,

Ach, das haben tatsächlich manche, damit koppelt man sich natürlich von den Möglichkeiten der Browser los und ist total frei, oder?

und besonders auf Einmal-Passwörter (TANs). Wurde ein TAN verwendet, bringt er niemandem mehr etwas, selbst wenn es jemandem trotz SSL gelingen sollte, ihn abzufangen.

Ja, aber genau so gut könnte man das Passwort mitbekommen, und dann kann man schonmal einblicke auf ein Fremdes Konto nehmen, IMHO ein großer Unterschied als wenn jemand in den privaten Bereich eines Forums eindringt und irgendwelche spaßigen Nachrichten liest!

Ach so, eine vernünftige Passwortabfrage beim Login bekommen bei Banken angestellte Programmierer auch hin :-)

vermutlich :-)

Grüße Andreas