Hallo!

Ist er nicht. Die aufgerufene Seite interessiert ja auch keinen.

Ach, warum wird sie denn dann aufgerufen?

Damit User+Passwort nicht mehr in der Adresszeile stehen.
Darum ging es nur. Es wäre auch die 2. Seite die eigentlich gewünschte.
Die erste wird nur zur Passwortübermittlung aufgerufen und dann weitergeleitet.

Deine Ausführungen gehen, wie sich eben gerade herausstellt, von einer HTTP-Authentifikation aus, bei der Username und Passwort nach einmaligem Eingeben bei jedem weiteren Request automatisch vom Browser an den Server gesendet werden.

Richtig!

Außerdem sagte er...

Ausserdem ist das ganze Konzept, mit verlaub, fürn Ar***.
Ich habe aber schon mit anderer Praxissoftware und der APO-Bank ähnlich erschreckende Erfahrungen gemacht.
Anscheinend macht sich beim Thema Datenschutz und Sicherheit kein Arzt oder Mitarbeiter wirklich Gedanken.

Gruß, Matze