Hallo,

(Wobei bei .htaccess wird normalerweise nach dem Login auch bei jedem weiteren Seiten-Request das Passwort (base64-kodiert) mitgesendet)

Ersetze ".htaccess" durch "HTTP Authentification"; und streiche

Ja da hast du recht, mir lag das Wort nicht auf der Zunge.

"normalerweise nach dem Login auch" ersatzlos, denn diese Worte haben im vorliegenden Zusammenhang keinerlei sinnvolle Bedeutung.

Dieses "normalerweise" könnte man auch auf das "base64-kodiert" beziehen, da dies beim 'HTTP Digest access authentication' nicht der Fall ist, da dort MD5 und nonces verwendet werden um das Passwort zu 'verschleiern'.

Wobei, zumindest nach eigenen Erfahrungen, dieses recht selten verwendet wird, da es auch einige Nachteile aufweist.

Siehe:
http://en.wikipedia.org/wiki/Digest_access_authentication

Aber da HTTP nuneinmal ein zustandloses Protokoll ist, muss irgendetwas gesendet werden, welches den User ausweist.
Entweder das Passwort (base64 kodiert), wie beim HTTP basic access auth. oder die SID wenn man mit Sessions arbeitet.

MFG