Nachdem ich heute mal ein bisschen mit dem IIS8 (WS2012) herumgespielt habe, habe ich festgestellt das Authentifizierung recht umständlich implementiert wurde.
Das sehe ich als ein Kontra an. Ein Basic ist veraltet egal bei welchem der Beiden. Die Digest Methode ist gut, doch der IIS möchte zum Abgleich die Daten aus einem Active Directory haben, blöd nur wenn man keine AD hat. Der Apache erledigt das mit 2 text dateien. Ansonsten wäre da noch die NTLM Methode, Nachteil nicht jeder hat Windows und nicht jeder benutzt den IE.
Desweiteren gäbe es dann noch eine Zertifikats Methode, auch umständlich, da keine CA vorhanden ist und man beim Provider eine Web Edition bekommen wird, des weiteren müsste man Zertifikate pflegen, da diese irgendwann ungültig werden.
Es zeigt sich somit für mich deutlich, dass der IIS eher für Unternehmen konzipiert wurde. Der einfache User könnte als Ausweg einen Webbasierten Schutzen bauen, das wäre am einfachsten über ein Formular.
Bei einer Softwareschutzimplementierung, um z.b. sein pma zu schützen oder andere sensible Bereiche, macht der Apache für den kleinen Mann eine bessere Figur.

Gruß
Sougetsu