Tach!

Die Frage ist, senden die Browser von selbst die Auth-Daten mit, wenn sie bereits die Zugangsdaten kennen, auch wenn sie von außerhalb auf das /my geschickt werden oder lassen sie sich erstmal bitten?

Wenn ich das richtig verstehe, dann erfahren die Browser ja gar nicht, ob das realm für eine bestimmte Ressource gilt (z.b. http://server/my/index.cgi) oder für alle Ressourcen server/my/*
Deshalb wird die Authentifizierungsanforderung wohl jedesmal gesendet und beantwortet.

Ich denke, nicht. Wir haben ja hier nur den einen Pfad /my/ und der Rest ist Querystring. Bei Basic Auth wird nicht immer neu angefodert. Mein Test mit dem aktuelle FF brachte auch von außerhalb sofort einen Request inklusive Credentials. Ich denke mal, die Frage können wir ad acta legen und stattdessen zu beantworten versuchen, ob man mit mod_rewrite einen Request mit Credentials von einem ohne unterscheiden kann. Wenn das mal jemand prüfen und dann die Rewrite-Regeln vollständig ausarbeiten und im Labor testen kann, dann kann ich sie auch mal live testen.

fred@host:~> wget -d --spider http://fred:hallo@localhost/privat/
// GET sendet TROTZ bekannten Benutzernamen und Passwortes davon nichts, lässt sich also bitten:

wget zählt nicht, das ist ein frisch gestartetes Programm und kein durchlaufender Browser.

dedlfix.