Hi there,

Hmmm. Das Kennwort könnte man sich also auch gleich sparen, oder ?

Hängt davon ab, was man vorhat. Es ging Dir um eine "Man in the middle"-Attacke, das ist im Web ja nicht der Normalfall der Bedrohung. Das Kennwort zur Identifizierung dem Sever gegenüber kann sehr wohl notwendig sein, das ändert aber nichts daran, daß das Übermitteln desselben über HTTP einfach nie und nicht einmal annähernd hundertprozentig sicher sein kann, egal, welche Handshake- und sonstigen Prozeduren man sich auszudenken versucht ist.
Wenn etwas wirklich hocheffizient abgesichert sein soll, dann ist HTTP einfach nicht das Protokoll Deiner Wahl...