... ich war bei einer Bank für solche Fragen zuständig und alleine HTTP Basic Authentifizierung wäre da ein Ausschlusskriterium gewesen und einen getunnelten eigenen Dienst zu zertifizieren ist auch nicht ohne!

... bis jetzt gabs noch keinen besseren Vorschlag was die Sicherheit betrifft. Und einfach ist es obendrein übrigens auch noch.

Auch wenns jetzt etwas am Thema vorbei geht, würde mich aber interessieren warum Basic Aut so schlecht sein soll?
Frage für einen Freund :-)

Weil da schon seit Jahren vor gewarnt wird und angreifbar ist.
Dies spielt jedoch nur für ganz externe Zugriffe via Web o.ä. eine Rolle.
Im Intranet ist das weniger gefährlich.

Außerdem erlaubt ja RUNRMTCMD sowie !syscmd via FTP den Aufruf aller möglichen Programme und Scripte.
Da ist ein Web-API (REST) schon sicherer, da diese eben genau für bestimmte Aufgaben (z.B. Query->Result) entwickelt werden (sollten) und keine Programmaufrufe ermöglichen sollten.