hi,

Aber nicht bei einfachem HTTP Auth, so wie hier im Forum.
Dabei wird das Passwort unverschlüsselt übertragen.
taucht das dabei aktiv irgendwo auf?

Im HTTP Request - der idR. über diverse Stationen geht, bevor er überhaupt am Ziel ankommt.

Hab das noch nie ausprobiert, loggt der Server das irgendwo oder hakt er es einfach als gültig ab?

Normalerweise dürfte es nicht geloggt werden, auch bei der "Eingabemethode" über den URL, die Genie ansprach, setzt das ja der Browser schon in einen gültigen HTTP Request um, als normaler Request-URI wird das also nie im Log auftauchen.

Ein "böser" Serverbetreiber könnte das natürlich irgendwie anders abfangen und aufzeichnen - aber das kann er bei Eingabe über das aufpoppende Fensterchen, in dem du deine Zugangsdaten eingibst, auch.
Beide methoden dürften sich hinsichtlich dessen, was an den Server geschickt wird, nicht unterscheiden - mit der einen Ausnahme, dass die erstmalige 401-Antwort des Servers, mit dem er den Client auffordert, die Auth-Daten u übermitteln, wegfällt.

Ich dachte bei Verschlüsselung in meinem Beitrag eher an Speicherung des SHA oder MD5 Hashs oder sowas.

Bei HTTP Basic Authentification nicht.

gruß,
wahsaga