Hi,

aber wie funktioniert diese umleitung ?

sie basiert auf einer Sicherheitslücke, die nur in wenigen Browsern implementiert ist - und bei allen anderen zu unvorhersehbaren Problemen führen kann, Ausfälle von Systemen eingeschlossen.

In HTTP-URLs ist die Angabe von "user:passwd@" explizit untersagt, vrgl. dazu RFC 1738 (http://www.ietf.org/rfc/rfc1738.txt). Netscape und IE (und Opera?) setzen solch defekte Konstrukte in korrekte URLs um und fügen die in RFC 2617 definierten HTTP-Header zur Basic Authentication hinzu (s. auch </selfaktuell/artikel/server/htaccess/index.htm>). Dadurch wird die _verlangte_ manuelle Authentifizierung übergangen.

Andere Browser reagieren hier nicht den Standards widersprechend. Was die dann tun, kann nicht abgesehen werden - vermutlich jagen sie die gefährlichen Konstrukte unverändert quer durch's Netz. In jedem Fall werden sie von Deinem Server nicht akzeptiert, selbst wenn sie zufällig unterwegs keinen Schaden anrichten.

Kids, don't try this at home.

Cheatah