Moin Stefan!

"No user name or password is allowed" im Abschnitt 3.3 "HTTP". Hmm... sehr merkwuerdig.. wie sieht den ein URL aus, die der Browser anfordert, wenn man beispielsweise im Apache eine .htaccess anlegt? Ist das dann nicht RFC-konform?

imho wird da die Authentifizierung einzeln rübergeschickt, aber auf
keinen Fall in der genannten Form. Dafür gibt es versch. Gründe,
z.Bsp. Referrer, Browserhistory etc., wo dann der Benutzername und
das Passwort sichtbar wären.

..hmm... Ist das bei den anderen Protokollen nicht so? Gut, einen Referrer gibt es nicht, aber in der Browserhistory finden sich auch die FTP-Seiten drin. Und dann kann man das Passwort auch auslesen. Meine Frage ist natuerlich, ob man nicht trotzdem ein <a href="http://user:pass@domain:port"> in seine Seiten einbauen kann und ob es funktioniert.

Gerade fuer den hier geschilderten Fall faende ich es sinnvoll, dass es funktioniert. Gut, es ist nicht RFC-konform, aber das ist IMHO in diesem Fall verschmerzbar. Leider kann ich es nicht selbst ausprobieren, da ich im Moment nirgendwo Passwortschutz a la .htaccess habe und es jetzt auf die schnelle nicht einrichten will. Also: Frage an dich/euch: Funzt es auch so?

Und: Warum ist im Abschnitt 3.1 ein "Common Scheme" definiert, dass so aussieht:
//<user>:<password>@<host>:<port>/<url-path>

Ja, in Abschnitt 3.1 wird die Syntax für die versch. Protokolle fest-
gelegt, welche in 3. genannt wurden. In den nachfolgenden Abschnitten
wird es genauer für _einzelne_ Protokolle spezifiziert, in 3.3 z.Bsp.
für http.

Ist mir schon klar, dass es ein allgemeiner Syntax ist. Ich verstehe das aber andersherum: Der allgemeine Syntax sollte so ausschauen: //<host>:<port>/<url-path>. Für spezielle Protokolle, die mehr unterstuetzen, sollte es dann (IMHO) ergaenzt werden. Also nicht "hinschreiben und dann streichen" sondern "weglassen und nur erwaehnen, wenn es Sinn macht". Das haette auch Strato gezeigt, wo der Hase langlaeuft.

BTW, 'prospero' (Prospero Directory Service) habe ich eben zum ersten
Mal gehört, kann man sich so etwas irgendwo live anschauen?

.. hat mich auch gewundert. Aber ueber "file:" wunderte ich mich auch ein wenig. Ich kenne es zwar (Konqueror zeigt es in lokalen Verzeichnissen immer an), aber wird damit auch irgendetwas uebers Internet uebertragen?

Wieso braucht http soetwas nicht? Auch hypertext sollte IMHO passwortgeschuetzt werden... (natuerlich, man kann einen RFC-konformen FTP:-link bauen, aber wieso?)

Natürlich besitzt http Möglichkeiten zum Passwortschutz, aber Links
mit eingebauten Passwörtern darf es bei http nicht geben, zwei mög-
liche Gründe habe ich oben genannt.

Und ich meine, dass es die schon geben darf ;-) Und zum Refferrer ist zu sagen, dass der Ersteller der Seiten darauf achten sollte, worauf er linkt, und gegebenenfalls eine "De-Refferer"-Seite (wie GMX) einbaut. Also: Was hast Du noch an Argumenten? :-P

Viele Gruesse,

Einbecker