Hallo, Henryk,

Die Logfiles bestaetigen das. Die Mozilla-Version ist
irgendeine kurz vor 1.0, aus dem CVS.

Meine ist 1.0.1 und macht das nicht, also haben die doch tatsächlich eine Funktion gefixt die gar nicht da sein sollte: erschütternd.

Möglicherweise haben andere Menschen andere Ansichten darüber.

Nebenbei zeigt es aber sehr schön, wie unzuverlässig - da nicht standardisiert bzw. vom Standard verboten - diese Vorgehensweise ist.

Wo ist da das Argument? Wenn die Mozilla-Leuts es nicht schaffen, eine laut dem hochheiligen Standard unerlaubtes, aber von den meisten großen Browsern "geduldeten" Quasistandard fehlerfrei einzubauen (...und damit neu zu erfinden, weil es eben keinen Standard gibt), ändert das nichts daran, dass andere bedeutende Browser solche aberwitzigen Fehler nicht beinhalten (und das schon seit Jahren, dass Mozilla es erst... ähm, vielleicht 5 oder 6 Jahre später schafft, ist nichts als lachhaft).

Das Fehlverhalten alter Mozillas ist eine klare Sicherheitslücke, die nichts damit zu tun hat, dass es ein nicht standardisiertes Feature ist. Dein Kommentar hört sich so an, als wolltest du implizit sagen: "Wenn Browserntwickler eigenständig Erweiterungen einbauen, können nur schlechte und unsichere Lösungen herauskommen. Wenn hingegen alles durchstandardisiert ist und die Browserentwickler den Standards haargenau folgen, ist die Software in jedem Fall besser."

Wo bitte ist das Sicherheitsproblem von HTTP-URLs mit Logindaten? Ich bin kein bisschen schlauer.
Erstens verwende ich keine Browser, die die Zugangsdaten im Referer senden würden. Zweitens verwende ich keine Browser, die überhaupt Referer senden. Drittens würde ich alles filtern, was auch nur irgendwie nach einem Referer-Header riecht.
Ich sehe immer noch kein Grund, wieso ich es nicht verwenden sollte. Die Browser (meine *Benutzeragenten*) erlauben mir diese Erleichterung und ich nutze sie. Findest du sicher erschütternd. ;)

Grüße,
Mathias