Dass man Benutzernamen und Passwort in der Adresszeile mit eingeben kann, und der IE das auseinanderdröselt und die richtigen HTTP-Header für ein HTTP-AUTH daraus macht.

Genau darum gehts: ein Browser muss die URL korrekt aufdröseln, schließlich handelt es sich bei der besagten Passwortübergabe-Methode um *offiziellen Standard*, der nachwievor gültig ist! Ein Browser muss das wissen, ansonsten hat er eine Sicherheitslücke. So einfach ist das.

Und das gilt für sehr viele Sites, die entweder aus Paranoia oder aus Technophilie ein Passwort anfordern.

Es geht um ein CMS, welches passwortgeschützt sein muss, damit nicht Fremde in der damit erzeugten Website herumschmieren können. Es gibt seit langem Würmer, die das Internet gezielt nach ungeschützten Seiten abscannen - sie rufen einfach Verzeichnisse wie z.B. "php_myadmin" auf und gucken, ob sie dort reinkommen.

André