Moin,

oh - was genau kann er denn nicht?

Zum Beispiel Digest Access Authentication nach RFC 2069, also ohne qop, was in RFC 2617 audrücklich aus Abwärtskompatibilitätsgründen noch zugelassen wird. Auf den Apache bezogen bedeutet das dass man zwingend mod_auth_digest statt mod_digest benutzen muß. Wenn man das nicht tut sendet der IE zweimal(!) einen Request ohne Authorisierungsinformationen, bekommt beide male einen 401 und zeigt dann die Standard-Nichtssagende-Fehlerseite an auf der er versucht seine Unfähigkeit auf ein Server- oder Netzproblem zu schieben.

Ausserdem können die Entwickler nicht lesen und selbst die RFC 2617-Unterstützung ist defekt: Es muß nämlich der URI so wie er in der Request-Zeile erscheint im Response-Hash verwendet und - weil Proxies ihn unter Umständen verändern dürfen - eine Kopie davon in den uri-Wert des WWW-Authenticate-Headers kopiert werden. Der IE kopiert aber nicht den ganzen URI sondern nur den Teil bis vor den Query-Part. Ein funktionierender Server (wie der Apache) lehnt den Request dann natürlich ab. Selbst wenn man den Server kaputt machen würde damit er den Request akzeptiert, würde das eine Sicherheitslücke bedeuten, da (konstruiertes Beispiel) /cgi-bin/admin.pl?action=show sicherlich etwas anderes bedeutet als /cgi-bin/admin.pl?action=deleteeverything, der IE aber für beides den selben Response-Wert berechnet.