Do ponto de vista do desempenho, https
exige que tudo seja criptografado: solicitação, resposta e credenciais.
Isso é, necessariamente, mais sobrecarga do servidor (CPU / tempo, RAM) do que a Autenticação Digest de HTTP, que simplesmente hashes as credenciais AUTH
para que não possam ser facilmente interceptadas / roubadas.
Assim, todas as outras coisas sendo iguais, https
+ Autenticação básica será mais lenta que http
+ Autenticação Digest.
Quanto mais lento? Provavelmente não é qualquer valor que você vai notar, além da conexão inicial e do handshake SSL.
The remainder of this answer is completely stolen from the top answer on This Stack Overflow Question covering the exact same material.
Os prós e contras da Autenticação Digest HTTP são explicados claramente no artigo da Wikipedia sobre o tópico - você deve leia isso!
Para ser franco: o HTTP Digest Auth só irá protegê-lo de perder sua senha de texto puro para um invasor (e considerando o estado da segurança MD5, talvez nem mesmo isso).
No entanto, ele está totalmente aberto a ataques do tipo Man-in-the-Middle e também - dependendo da implementação, já que a maioria dos recursos avançados é opcional - replay, dicionário e outras formas de ataques.
No entanto, a maior diferença entre uma conexão HTTPS e uma conexão HTTP protegida pelo Digest Auth é que, com o antigo tudo , é criptografado com criptografia de chave pública, enquanto o segundo conteúdo é enviado de forma clara .
Quanto ao desempenho: dos pontos acima mencionados, deve ficar bem claro que você recebe o que paga (com ciclos de CPU).
Para "flexibilidade" eu vou com: huh?