Hallo,

Das ist, wie schon einige gesagt haben, unwahr.
Wäre auch zu pervers, wenn die Anfrage plötzlich
  GET username:passwort@/my/ HTTP/1.1
oder ähnlich lauten würde. :)

Noe, das ist durchaus wahr. Betrachte mal den Referer-Header.

Ich habe das mal mit einem Skript getestet, indem ich in einem geschützten Bereich mittels verbotener URL eingedrungen, und anschließend per Link von dort aus auf Skripte innerhalb und außerhalb des geschützten Bereichs gesprungen bin. In keinem Fall konnte ich mit meinem NN4.73 provozieren, daß die Zugangsdaten im HTTP_REFERER erscheinen.

Was hat das Problem eigentlich mit den Server-Logfiles zu
tun?

Da wird dein Passwort und dein Username drin stehen.

Zumindest mit dem NN4.73 aller wahrscheinlichkeit nach nicht. :)
Du könntest aber ja spaßeshalber mal in die Logfiles schauen, und die entsprechenden User, deren Daten dort ersichtlich sind anmailen, und sie so überzeugen, nicht verbotene URLs zu verwenden. :)

• wieso sollte ich öffentlich einen /my/-Link mit meinen
  Zugangsdaten setzen?

Das tust du automatisch damit.

Was aber imho nicht für alle Useragenten gleichermaßen gilt. Man könnte ja sogar einen lokalen Proxy damit beauftragen, solche "URLs" in die entsprechende Requestform umzuwandeln.

Denkt daran, dass die Webalizer-Daten veroeffentlicht werden!
Da ist auch eine komplette Liste aller Referer dabei!

Kann man sich das schon mal anschauen? (nichts Böses im Sinn habend, ehrlich, ich schwör's ;-)

Gruß Alex