Folgendes Phänomen habe ich kürzlich entdeckt: wird eine Seite in einem passwortgeschützten Verzeichnis mit einer URL aufgerufen, die den Usernamen und das Passwort bereits enthält - Schema:

http://username:passwort@domain.de/verzeichnis/datei.php4

zegt der Safari als einziger getesteter Browser das Passwort im Klartext in der Adresszeile des Browsers an. Beim Weitersurfen wird das Passwort dort von Seite zu Seite im Klartext mitgeschleppt. Eine dieser Seiten ist eine Vorschau, die ein kleines Menü mit Links zu den gängigen Online-Validatoren enthält, u.a. diesen:

http://www.validome.org/referer

Klickt man diesen Link an, holt sich Validome die URL der zu prüfenden Seite aus der Referrer-Angabe des Browsers. So, und jetzt kommt's: Die Ergebnisseite von Validome zeigt die URL der geprüften Vorschauseite an und zwar *mit* Passwort und Benutzername. Safari übergibt diese Daten also irgendwie an die aufgerufene Validome-Webseite - ich weiß nur nicht, wie.

document.referrer (Javascript) enthält das Passwort nicht, lediglich in document.URL ist es enthalten. In irgendwelchen PHP-Variablen ($_SERVER) habe ich gar nichts gefunden.

Frage: Gibt es irgendeine Möglichkeit, via PHP festzustellen, ob die URL der aktuellen Seite eine Username/Passwort-Phrase enthält? (Ich habe zwar eine JavaScript-Funktion, aber die funktioniert natürlich nur bei eingeschaltetem JavaScript).

André