Moin,

Mein Hinweis auf HTTP war natürlich unsinnig, zu den URIs gibt's das RFC 2396. Dort steht allerdings nicht, dass eine URL keinen Benutzernamen und kein Passwort enthalten darf, sondern es heißt dort unter 3.2.2 "Some URL schemes use the format "user:password" in the userinfo field. This practice is NOT RECOMMENDED" (aus Sicherheitsgründen).

Und vorher war RFC 1738 wo es speziell zu HTTP heisst "No user name or password is allowed." RFC 2396 sagt von sich "revises and replaces the generic definitions in RFC 1738" das heisst es verändert nichts an den speziellen Definitionen. Es wird dort auch angekündigt dass diese speziellen Teile von noch zu schreibenden RFCs überarbeitet werden sollen, für HTTP-URLs ist so einer aber noch nicht erschienen. (Bzw. man könnte RFC 2616 Abschnitt 3.2 so werten, dort steht aber auch nichts von Passwörtern oder Benutzernamen.)