Moin,

warum unzulässig? (wenn man mal davon absieht, das 'bla' kein gültiger domainname ist.)

Die Diskussion haben wir im Archiv schon oft genug ausgetragen. Die Kurzfassung: RFC 1738 verbietet die Passwortangabe in HTTP-URLs explizit, RFC 2396 sagt von sich selbst, dass es die allgemeine URL-Syntax definiert aber die Teile von RFC 1738 die sich auf spezifische Schemen beziehen nicht ändert. Stattdessen soll es für jedes dieser Schemen einen eigenen Nachfolge-RFC geben. Für HTTP existiert bis heute kein solcher (naja, man könnte RFC 2616 so werten, aber auch da steht nichts von Passwortangaben) und daher bleibt das Verbot wohl bis heute bestehen.

All' das ist mit unterschiedlichen Meinungen und Gegenmeinungen im Archiv. Sogar im Heise-Forum wurde das schon durchgekaut (http://www.heise.de/newsticker/foren/go.shtml?msg_id=3237658&forum_id=40491&read=1).