Hallo molily,

Das ist, wie schon einige gesagt haben, unwahr.
Wäre auch zu pervers, wenn die Anfrage plötzlich
  GET username:passwort@/my/ HTTP/1.1
oder ähnlich lauten würde. :)

Noe, das ist durchaus wahr. Betrachte mal den Referer-Header.

Was hat das Problem eigentlich mit den Server-Logfiles zu
tun?

Da wird dein Passwort und dein Username drin stehen.

Meiner Meinung nach gar nichts, dort wird so oder so der
Benutzername geloggt, oder auch nicht, je nachdem wie der
Admin Apaches(/$httpd's) Logformat eingestellt hat.

Richtig, aber sicherlich nicht dass Passwort.

Und es aendert immer noch nichts
daran, dass eine solche URI bei HTTP *verboten* ist.

Prinzipienreiter. ;)

Nein. Es hat durchaus seine Gruende, warum das verboten ist.

Um nichts anderes ging es hier

Klar -- es ging generell um einen Link der oben beschriebenen
Form. Ich sehe nicht, wo Michael eine Einschraenkung gemacht
hat.

• wieso sollte ich öffentlich einen /my/-Link mit meinen
  Zugangsdaten setzen?

Das tust du automatisch damit.

Denkt daran, dass die Webalizer-Daten veroeffentlicht werden!
Da ist auch eine komplette Liste aller Referer dabei!

Gruesse,
 CK