Session ci Digest authentifikacia?

Po precitani pristevkov vo fore na temu prihlasovanie do aplikacii a pod ma napadla jedna otazka: co je podla Vas lepsie? Digest autorizacia, ci autorizacia pomocou hesiel v mysql za pouzitia md5 kluca? mam v tom trosku nejasno, zislo by sa nejake priame porovnanie, vysvetlenie pre ty co sa do toho az tak nerozumeju... . :-)

V Digest autentifikaci se posílá heslo po síti hned od začátku šifrovaně, a to zároveň s jinými údaji - jméno, realm, náhodné hodnoty apod, takže bezpečnost je velmi vysoká (v Basic autentifikaci je skoro nulová, neboť heslo chodí po síti pouze jednoduše zakódovaně, a to při každém požadavku - neboli každý si ho na trase může přečíst).

Že je heslo zahashované v MySQL znamená pro bezpečnost v podstatě jenom a pouze to, že si ho nemůže zjistit admin nebo cracker, kterej by se naboural do DB - to je asi všechno :-) Pokud není použito SSL (nebo jiné šifrování hned od prohlížeče - pomineme-li local zjištění z paměti apod.), heslo jde po síti jako čistý text, a hash se porovná s hashem v DB až na serveru - takže (ne)bezpečnost viz výše.
Souhra SSL (neboli https), MD5 hashů v DB, a třeba sessions už je samozřejmě o něčem jiném.

mistral: a ked poslem uz hashovane heslo, nie text?

P.S. Jenom aby nedošlo k nedorozumění:
Samozřejmě, že i heslo hned v prohlížeči jde zahashovat pomocí MD5 (v JS). Ale to už z principu nic neřeší. Místo textu hesla by šel po síti MD5 hash, ale stále je to to samé, co by se porovnávalo nakonci - neboli po síti by chodila při každém požadavku, při každém přihlašování, stále ta samá hodnota.
Kdežto Digest authentizace je proti odposlechu daleko více imunní, protože obsahuje právě ty proměňované! náhodné hodnoty a také BTW URL. A ta náhodná hodnota může být ještě zahashována třeba i s IP adresou, čímž se imunita ještě více prohlubuje.