Diese Methode war für HTTP-URLs m.W. nie definiert.
Für FTP-Adressen u.ä. schon.

Haste nicht ganz unrecht. Hab eben nochmal recherchiert. RFC 2396 beschreibt dieses URI-Schema allgemein (Username:Passwort erlaubt), RFC 1738 hebt dieses speziell für http:// wieder auf.

Aber wie dem auch sei, das ändert nichts daran, dass ein Browser nicht mit Passwortdaten in der Gegend herumschmeißen darf. Bei ftp://-URL, in denen Passwörter ja erlaubt sind, darf er das schließlich auch nicht.

Wie gesagt, es ist müßig, darüber zu philosophieren, und sich um eine Lösung herumzudrücken, weil man sich dafür nicht verantwortlich fühlt. Wenn ich mich für meine Arbeit nicht verantwortlich fühle, brauche ich mich über das Fehlverhalten von Kunden/Anwendern erst recht nicht aufzuregen. So einfach ist das.

In diesem Sinne: ich suche einen sicheren Erkennungsmechanismus (PHP), mit dem solche Eventualitäten abgefangen werden können.

André

P.S.: Wen's interessiert: die JavaScript-Methode sieht so aus:

if (document.URL.indexOf("@")!=-1)
window.location.replace(window.location.protocol+"//"+document.URL.substr(document.URL.indexOf("@")+1));