Hi,

Aber dann sagt mir mal - warum sollten gerade die Banken auf htaccess verzichten?
warum nicht? Die Annahme, Basic/Digest Authentication würde das Maximum der möglichen Sicherheit darstellen, ist falsch.
Ja, das ist mir wohl bewußt, aber wenn  ich Sven richtig verstanden habe, haben alle anderen System den Nachteil, das man sich immer mehr schlecht als recht behelfen muß(wie im anderen Posting von mir :-)), den Client auf der nächsten Seite wiederzuerkennen, da ja keine Benutzerdaten mitgesendet werden.

genau darauf wollte ich hiermit hinweisen:

Banken verlassen sich einerseits auf proprietäre Systeme (meist Java-Applets - natürlich stellt eine "nicht standardisierte Kommunikation" nur eine geringe Hürde dar; der Vorteil liegt aber in erweiterten Möglichkeiten im Hinblick auf Client-Identifikation),

Wenn sich ein Applet mittels "definierter Kommunikation" beim Server anmeldet, kann es eine eindeutige Kennzeichnung bekommen.

Ach, das haben tatsächlich manche, damit koppelt man sich natürlich von den Möglichkeiten der Browser los und ist total frei, oder?

Jein. Es ist von der Funktionalität her ein riskantes Gewässer - Java kann deaktiviert/nicht vorhanden sein, oder auch ziemlich makaber installiert (man schmeiße nur mal den IE auf einen armen, unschuldigen Mac...), und alles was über HTTP hinausgeht, kann ohne weiteres an einer Firewall hängenbleiben. Gesetzt den Fall es funktioniert, sind die Möglichkeiten aber enorm.

Ja, aber genau so gut könnte man das Passwort mitbekommen,

Das ist sogar unwahrscheinlicher als bei Authentication: Das Applet kann weiterhin SSL verwenden, aber das Passwort bereits verschlüsselt (ob crypt(), MD5 oder etwas anderes) übertragen.

und dann kann man schonmal einblicke auf ein Fremdes Konto nehmen,

Das ist wie gesagt von den TANs abhängig, die der User nur schriftlich erhält; bzw. davon, welche Aktionen ohne TAN möglich sind. Wenn ich in meiner Bank am Überweisungs-Automaten vergesse, mich abzumelden, kann der nächste auch meinen Kontostand einsehen - und hat sogar mehr davon, weil er mich kurz mal überfallen und die Karte rauben kann, wenn ihm gefällt, was er sieht.

IMHO ein großer Unterschied als wenn jemand in den privaten Bereich eines Forums eindringt und irgendwelche spaßigen Nachrichten liest!

Du weißt vorher eben nie, ob es bei spaßigen Nachrichten bleibt. Sicher, bei Homebanking ist Dir vorher klar, dass es sich um vitale Daten dreht. Dadurch solltest Du aber nicht vergessen, dass dies _immer_ passieren kann, auch in einem Forum. Wenn Du nicht gewillt (bzw. "gekonnt", wenn Zeit fehlt usw.) bist, einen Bereich von Anfang an maximal sicher zu gestalten, solltest Du ihn lieber gleich vollständig unsicher gestalten. Das "führt weniger in Versuchung".

Cheatah