Hi,

hm. der servermensch dachte sich eines schönen tages aus, dass man per login die anmeldedaten für jegliche kommunikation mit dem server via:

beforeSend:function (xhr){    xhr.setRequestHeader('Authorization', 'Basic'+base64encode(userdaten));
}

> vollzieht. egal ob ich also einen ordner erstelle, einen upload mache oder etwas umbenenne, schicke ich immer diesen header mit. was auch ich aus sicherheitstechn. gründen gruselig finde, denn man muss sich ja nur aus dem header die daten zurückkodieren und schon...aber das ist es, was fkt. soll.  
  
Dann mach dem Servermensch bitte klar, was für ein Nonsense das ist - die Zugangsdaten zum Client zu übermitteln, nur um sie sich dann von diesem zurück schicken zu lassen.  
  
Das bietet in der Form \*überhaupt\* \*keine\* Sicherheit, und kann ersatzlos entfallen.  
  

> dann muss ich doch dem, der das verbrochen hat, den schuh anziehen?  
  
Nein, ausziehen. Und dann damit verprügeln.  
  

> egal ob ich nun einen anchor mit target \_blank oder ein input hidden einsetze: wenn ich ohne authentifizierungsheader auf jedwede url mit params zugreifen will, bekomme ich eine 401^^  
  
Noch mal: Wenn der Browser sich bereits mit einen Request erfolgreich authentifiziert hat - dann \*merkt\* er sich diese Daten, und schickst sie beim nächsten Request nach einer Ressource automatisch wieder mit.  
  
Du könntest also zunächst einen AJAX-Request auf irgendeine „uninteressante“ Ressource im Realm absetzen, dabei die Zugangsdaten mitgeben (nicht über einen selbstgebastelten Header, sondern über die dafür vorgesehenen Parameter) - und dann sollte der Browser beim anschließenden Ausführen des stinknormalen Links nicht (erneut) nachfragen.  
  
Ist und bleibt hinsichtlich „Sicherheit“ natürlich trotzdem kolossaler Blödsinn.  
  
MfG ChrisB  
  

-- 
RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?