Hi Michael!

aus Performance-Sicht teile ich Deine Sichtweise.

Das Problem ist ja, das nicht nur mehr Requests anfallen, mehr Traffic... sondern dass jedesmal explizit einmal um sonst auf die Antwort gewartet werden muss.

Man müßte vielleicht mal die Mozilla-Group fragen, ob das ein bug ist oder ob es security-Aspekte gibt, die gegen das präventive Senden der Credentials sprechen könnten.

Ich vermute fast dass die sich was dabei gedacht haben, da sie ja implementiert haben dass keine neue Nachfrage kommt. Es könnte den Grund haben, dass man evtl. nicht nur Verzeichnisse, sondern auch Dateien schützen kann. Nur habe ich diese Möglichkeit nirgendwo finden können, aber auch keine Stelle wo dem explizit widersprochen wurde, IMHO wurde auch von "Recource" gesprochen, das könnte ja auch eine Datei sein. Jedenfalls geht das im Apachen nur Verzeichnisweise.

Ein anderer interessanter Punkt:

Ich war immer davon ausgegangen dass man die Authentifzierung nur für _einen_ Server einsetzen kann. Heißt also dass es im HTTP-Protokoll keine Möglichkeit gibt, dass ich mich einmal auf forum.de.selfhtml.org/my/ einlogge, und ohne erneute Passworteingabe mich unter cforum.teamone.de/forum/my/ authentifzieren kann. Aber jetzt steht im oben genannten RFC folgender Satz:

Unless otherwise defined by the authentication scheme, a single
   protection space cannot extend outside the scope of its server.

Heißt dass jetzt im Umkehrschluss, dass man über das "authentication scheme" einem Client auch sagen kann dass er die Auth-Daten ebenfalls zu einem anderen Server senden soll? Also dass es doch die Möglichkeit gibt sich mit nur einem Login-Vorgang unter 2 Subdomains zu authentifizieren? Oder habe ich das falsch verstanden?

Viele Grüße
Andreas