In Anlehnung an diesen Thread wollte ich die Sache noch mal etwas genauer betrachten...
Für die Passwortübertragung in der Authentifizierung gibt es in Firebird anscheinend zwei unterschiedliche ISC-Codes:
Das Problem ist hier wohl, dass der 2. ISC-Code wohl für die verschlüsselte Passwortübergabe dient, allerdings niemals im gesamten .NET-Provider-Projekt implementiert wird.
Für mich sieht es so aus, als wäre das mal angedacht gewesen, aber es hat sich einfach nie jemand darum gekümmert...

Hat hier jemand den Source von anderen Firebird-Zugriffskomponenten (IBDAC usw.) und könnte da mal nachschauen, ob es dort eine Möglichkeit gibt, das Passwort verschlüsselt (oder gehasht) zu übertragen?

Es ist ja doch schon eine erhebliche Sicherheitslücke, wenn man eine FB-Datenbank in einer unsicheren Umgebung einsetzen will...

Scheinbar gibt es für Interbase oder Firebird keine sichere Komunikation.
Diese Diskussion ist schon etwas älter:
http://www.borlandtalk.com/1-vt92985.html

Vieleicht hat jemand in diesem Zusammenhang schon Erfahrungen mit dem Einsatz von "zebedee"?

Ja,

Firebird sollte mann nicht in ungesicherten Netzen betreiben.
Nich nur die Anmeldung, die Komplette Kommunikation ist vollkommen offen!
Vieleicht ändert sich das ja in Zukunft mal? Ist halt "Freibier".

LG,
Daniel

Ich habe heute das mal getestet:
Server: Win7(32bit) mit Firebird 2.1 WI-V2.1.4.18393
Client: Win7(64bit) per IBExpert Ver 2012.9.2.1
LAN-Telekom(Standort1)-Telekom(Standort2)-IPFIRE-LAN
mitgelauscht habe ich per Wireshark
in den Protokollen habe ich zwar Username,Host und Alias gefunden
aber kein Passwort im Klartext.

Ich will aber keine Screenshot reinsetzen da dies Produktivdaten sind.
Grüße

Du hast wohl Recht, ich habe es gerade mit einem anderen Programm getestet (Firebird Maestro) und dort wird auch kein Passwort im Klartext übergeben. Es liegt also wohl wirklich an den .NET-Providern.

Ich hab jetzt von zu Hause aus mit
Lazarus (ZEOS 7) connected. Auch keine Klartext Daten.
Es wird das PW verschlüsselt.

Dann werde ich mich wohl mal in nächster Zeit beim Firebird-.NET-Provider-Entwickler beschweren ;D

Zusammfassend zu den Trööts kann man sagen
dass mein ursprüngliches Anliegen hier so durchführbar
ist wie angestrebt. Eine verschlüsselte Datei, in meinem Falle mit
DCPCrypt sowie eine native verschlüsselte Übertragung zum FB Server
(am besten in einer DMZ).
Damit ist zumindest IMHO eine Grundsicherheit gegeben und
relativ einfach zu bewerkstelligen.
Allerdingst sollte man die jeweiligen Verbindungen testen oder gar
eine Art Referenz herausgeben an der man sich orientieren kann.

Grüße @all

Interbase hat dieses Problem überhaupt nicht mehr. Nachdem sich die beiden Sourcen Interbase und Firebird weiter auseinanderentwickelt haben, gibt es mittlerweile eine Verschlüsselung für Interbase. Diese kann sowohl auf Datenbank-Ebene existieren, als auch in der verschlüsselten Kommunikation. Würde mich auch sehr freuen, wenn die verschlüsselte Kommunikation auch irgendwann für FirebirdSql kommen würde. Immer nur per Tunnel oder zebeedee oder wie das heißt arbeiten zu müssen, macht da nicht wirklich Sinn. Nachdem aber ein Kunde bei uns diese im RZ gehostet haben will blieb uns keine andere Wahl als wieder auf Interbase umzusteigen. Trotzdem würde ich lieber weiterhin Firebird nehmen.

Eines der Features des alternativen Forks Vulcan ist die plugingesteurete Verschlüsselung und Authentifizierung. Dieser sollte mit Firebird2 verschmolzen zu FireBird 3 werden. Diese Version ist nun aber schon Jahre verspätet. Sämtliche Features, welche für Post Version 3 geplant waren und noch mehr wurde nun in 2.x Versionen implementiert. Aber Version 3 lässt aber leider immer noch auf sich warten. ( Auch wegen anderen Featuren, wie bessere Multicore-Unterstützung)