Hello,

Im Prinzip habe ich das so verstanden:
Die Abfrage User/PW kommt erst durch den Request des Server zustande, daher kann ich (mittlerweile) die Daten nicht gleich mitsenden.

Genau, bei Standardbrowsern geht das nicht.
Die merken sich einfach nicht, dass sie zukünftig an eine bestimmte Seite die Zugangsdaten im Header mitsenden sollen bei JEDEM Request, wenn sie nicht vorher durch den Status 401 dazu aufgefordert worden sind.

Dem Server ist das egal.
Wenn der die Daten im Header entdeckt, nachdem er mit dem Request des Clients auf einen "geschützten Bereich" trifft, und die Daten passen zu seiner Vorgabe, dann macht er auf. Sonst verzweigt er auf den Mechanismus 401 senden.

Du könntest also die Browser modifizieren ;-)

Eventuell sind solche Spiele auch durch eine "Browsershell", wie die HTA-Technik möglich.
Auf jeden Fall wären sie durch einen intelligenten Proxy möglich. Der kann dem Header jedes Requests ja hinzufügen, was er will.

Da könnte der User eine Session mit dem Proxy aufbauen und der würde dann mittels dieser bei jedem Request feststellen, ob Zugangsdaten hinzugefügt werden müssen.

Harzliche Grüße vom Berg
http://bergpost.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
Ein Jammer ist auch, dass die Dummen so selbstsicher und die Klugen voller Zweifel sind. Das sollte uns häufiger zweifeln lassen :-)