Moin,

"No user name or password is allowed" im Abschnitt 3.3 "HTTP". Hmm... sehr merkwuerdig.. wie sieht den ein URL aus, die der Browser anfordert, wenn man beispielsweise im Apache eine .htaccess anlegt? Ist das dann nicht RFC-konform?

also, hier mal kurz der Authentifizierungsmechanismus von HTTP (also Dialog zwischen Browser und Server):
Beispiel: http://www.o3media.de/test/

* Browser: Hallo, ich bin der ***-Browser, ich moechte auf den Host 'www.o3media.de' zugreifen und gerne den URL '/test/' haben.
[
GET /test/ HTTP/x.y
Host: www.o3media.de
Useragent: ***-Browser ;-)
]

* Server: Tach, ich bin der Apache 1.3.** und bevor du /test/ haben kannst, musst du erstmal zeigen, dass zu fuer den Bereich "Testarea" berechtigt bist
[
Status: 401 Authorization required
WWW-Authenticate: Basic realm="Testarea";
Server: Apache 1.3....
]

* Browser: Hallo, ich bin der ***-Browser, ich moechte auf den Host 'www.o3media.de' zugreifen und gerne den URL '/test/' haben. Ich kann mich soundso (hier test:test, d.Red.) ausweisen
[
GET /test/ HTTP/x.y
Host: www.o3media.de
Authorization: Basic dGVzdDp0ZXN0
Useragent: ***-Browser
]

* Server: Hi, ich bin der Apache soundso, aha, User/PW stimmen - hier hast du /test/

(nachzulesen in RFC 2617), die Digest-Variante ist noch etwas komplizierter ;)

also schoen: gebe ich xy:za@www.host.de an, dann bekomme ich das Hypertextdokument - was ist mit den Bilder und weiteren Links (aller derselbe Username/Passwort??)
Neenee, das passt vorne und hinten nicht.

Uebrigens haelt sich mein Proxy an die RFCs und gibt bei user:passwort-(HTTP)-URLs auf.

Wieso braucht http soetwas nicht? Auch hypertext sollte IMHO passwortgeschuetzt werden... (natuerlich, man kann einen RFC-konformen FTP:-link bauen, aber wieso?)

nicht, dass er passwortgeschuetzt waere bei so einem Link...

Ist mir schon klar, dass es ein allgemeiner Syntax ist. Ich verstehe das aber andersherum: Der allgemeine Syntax sollte so ausschauen: //<host>:<port>/<url-path>. Für spezielle Protokolle, die mehr unterstuetzen, sollte es dann (IMHO) ergaenzt werden. Also nicht "hinschreiben und dann streichen" sondern "weglassen und nur erwaehnen, wenn es Sinn macht".

nein. Es geht dort um URLs allgemein. Mit dem ersten Wissen kann ich also sagen, wie ein generische URL-Schema aussieht. Mit den Spezifikationen der einzelnen Schemes wird das generische Schema genommen und eingeschraenkt. Glaub mir, das soll so ;)

Das haette auch Strato gezeigt, wo der Hase langlaeuft.

Strato beruft sich auf RFC 2396, obwohl ich nicht verstehe, was daran nicht eindeutig ist:

| This document updates and merges "Uniform Resource Locators"
| [RFC1738] and "Relative Uniform Resource Locators" [RFC1808] in order
| to define a single, generic syntax for all URI.  It excludes those
| portions of RFC 1738 that defined the specific syntax of individual
| URL schemes; [...]

'It excludes' klingt fuer mich *sehr* eindeutig.

Natürlich besitzt http Möglichkeiten zum Passwortschutz, aber Links
mit eingebauten Passwörtern darf es bei http nicht geben, zwei mög-
liche Gründe habe ich oben genannt.
Und ich meine, dass es die schon geben darf ;-)

schreib halt n RFC dafuer ;)

Viele Gruesse,

n.d.p.