Hallo,

http://user:pass@forum.de.selfhtml.org/my
(für http-urls ist user:pass explizit verboten)
Habe seit gut zehn Jaren solche Links in meiner Favoritenliste.

ich auch, weil sie von den meisten Browsern eben doch verstanden und geduldet werden - auch wenn sie sich manchmal etwas zickig verhalten.

Internet Explorer hat diese Notation bis Version 5.5 ohne Widerrede und ohne Hinweis geschluckt, als sei das ganz normal. Ab Version 6.0 hat er bei solchen URLs plötzlich behauptet, die seien ungültig, man konnte ihn aber mit einem Registry-Eintrag dazu bringen, sie ebenso zu akzeptieren wie sein Vorgänger. Das funktionierte AFAIK bis IE8, über neuere Versionen kann ich nichts sagen.

Opera "Classic" (atm Opera 12.16) akzeptiert diese Eingabe zwar in der Adresszeile bzw. in Bookmarks, gibt auch keine Warnung, lädt die Ressource korrekt, fordert aber beim nächsten Klick auf einen Link die Credentials doch wieder im Dialog an. Erst dann speichert er sie auch für weitere Requests. In Links akzeptiert er diese Notation AFAIK gar nicht.

Firefox akzeptiert's, fragt den Nutzer aber trotzdem, ob das so in Ordnung sei.

Hatte noch nie einen Hinweis darauf, dass das "verboten" sei. Steht da etwas zu in den HTTP-Specs, das ich (damals) überlesen haben sollte?

Ja. Sowohl HTTP 1.0 als auch HTTP 1.1 definieren explizit, wie eine gültige URL auszusehen hat, und Username/Passwort werden nicht erwähnt. Das ist z.B. in FTP anders, dort ist diese Notation korrekt und üblich.

Mir war, als hätte ich irgendwo mal etwas gelesen, das noch deutlicher sagt "darf nicht", kann mich aber im Moment nicht erinnern, wo das gewesen sein mag.

Ciao,
 Martin