На странице Ввод авторизации Apache сообщает нам, что:
Apache поддерживает еще один метод аутентификации: AuthType Digest. Эта метод реализуется mod_auth_digest, а гораздо безопаснее.
а на странице mod_auth_digest Apache сообщает нам, что:
Этот модуль реализует аутентификацию HTTP Digest (RFC2617) и предоставляет альтернативу mod_auth_basic, где пароль не передается как чистое. Однако это не приводит к существенному преимущество над базовой аутентификацией. С другой стороны, хранение паролей на сервере гораздо менее безопасно с помощью дайджеста аутентификации, чем при базовой аутентификации.
Может кто-нибудь прояснить эти, казалось бы, противоречивые заявления для меня? Я понимаю, что оба способа обработки паролей уязвимы для повторных атак (если вы также не используете SSL), но это кажется отдельной проблемой.