zeigt der Safari als einziger getesteter Browser das Passwort im Klartext
Ein Grund mehr, auf sowas zu verzichten.

Ja, aber eine Sicherheitslücke ist eine Sicherheitslücke ist eine Sicherheitslücke. Durch Verzicht ist noch keine Sicherheitslücke verschwunden.

In einem IE auf aktuellen Patch-Level dürfte es übrigens gar nicht mehr funktionieren.

Korrekt. Firefox und Opera geben an dieser Stelle einen unmissverständlichen Warnhinweis aus, ignoriert man diesen, übergeben diese Browser das Passwort trotzdem nicht an Validome.

In irgendwelchen PHP-Variablen ($_SERVER) habe ich gar nichts gefunden.
Auch nicht im HTTP_REFERER

Nein.

Frage: Was willst du _eigentlich_ erreichen, sprich warum siehst du dich überhaupt veranlasst, die Authentifizierungsdaten auf einem derart unsicheren Wege zu übergeben?

Weil nach Murphy's Gesetz alles, was schiefgehen kann, auch schiefgehen wird. Ich will verhindern, dass im Falle dieses Falles ein Benutzer die o.g. Sicherheitslücke unbewusst aufreißt. Wenn Safari solche Aktionen nicht abfängt, dann muss es eben die im passwortgeschützten Verzeichnis befindliche Website tun. Aber irgendjemand *muss* es tun, alles andere zu diskutieren ist müßig.

André