Hallo,

»» Das ging zwar mal über einen Umweg, indem man die Logindaten über einen Request übergab ...

du meinst die URL-Notation http://user:password@example.org/, die für einige Protokolle definiert ist (z.B. FTP), für HTTP jedoch ausdrücklich nicht?

Immerhin: Der IE, der das bis Version 5.5 klaglos akzeptierte, hat in so einem Fall selbst die Zugangsdaten von der eigentlichen Request-URL abgetrennt und brav mit den richtigen HTTP-Headern in den Request eingebaut. Beim Server kam also in jedem Fall ein formal korrekter Request an.

»» aber das war damals schon nicht empfehlenswert und heute aus Sicherheitsgründen nicht mehr möglich.
Stimmt nicht ganz: Der Internet Explorer unterstützt diese Art der Datenübergabe nicht mehr, der Firefox z.B. schon.

Ja, dem Internet Explorer ab 6.0 kann man es aber auch mit einem einfachen Registry-Eintrag wieder erlauben. Opera und Firefox brauchen zwar keinen derartigen Eingriff, nerven einen aber dafür mit einer Nachfrage im Stil von "Wollen Sie wirklich ...?" Da ist mir das (korrigierte) Verhalten des IE lieber.

Aber egal wie - manche Browser reagieren mit einer Nachfrage, andere weisen Zugangsdaten in der URL direkt als fehlerhaft ab, und damit ist die Methode eigentlich nicht zu gebrauchen.
Ganz abgesehen davon, dass ein Zugriffsschutz mit Benutzername und Passwort ad absurdum geführt wird, wenn man die Zugangsdaten für jeden sichtbar mitliefert.

So long,
 Martin