Ich testete dieses Script nun über den Browser Opera 3.60 und muss feststellen, dass in der Variablen
AUTH_PASSWORD
mein Passwort im Klartext ausgegeben wird. Der IE macht das nicht. Ist das ein Bug von Opera?
Ich verstehe das noch nicht so ganz. Was fuer ein Passwort ist denn das? Das mit dem Du Dich auf Deinem Client anmeldest? Wohl kaum, denn das sollte Opera gar nicht herausfinden koennen, ne?

Warum nicht? Der Anwender tippt es doch erst mal in die Box ein, die Opera ihm auf den Bildschirm zaubert. Opera selbst realisiert dann das Authentifizierungsprotokoll mit dem Webserver, verschlüsselt ggf. das Passwort oder was auch immer, weiß aber sehr wohl, was es da getan hat.
Und wenn Opera es lustig findet, weitere Angaben mitschicken, dann ist im http-Protokoll offenbar genug Platz dafür ...

Normalerweise sollte es vielmehr die CGI-Anwendung sein, die das Passwort *nicht* kennen darf. Denn wenn ich mich auf einem Webserver authentifizieren muß, heißt das ja noch lange nicht, daß jede CGI-Anwendung alle Passworte kennen darf.
Ganz im Gegenteil: Die CGI-Anwendung kann die Datei mit den gecrypt()ed abgelegten Passworten zwar möglicherweise auf ihrem Server lesen, aber eben *nicht* verarbeiten.
Wenn ihr nun der Opera-Browser dieses Passwort schickt, dann gibt er der CGI-Anwendung eine Information, die ihr "dienstgradmäßig" gar nicht zusteht ... die CGI-Anwendung könnte jetzt fröhlich Passworte mitschreiben, und ihr Autor könnte im Besitz dieser Passworte dann via Browser auf Verzeichnisse zugreifen, die nur diesem anderen Benutzer zugänglich sein sollen und ihm selbst nicht (sofern es solche innerhalb desselben Realms gibt).

So gesehen also möglicherweise eher ein Bug als ein feature ...