Hallo fastix,

wie machen die das: obi@otto.de
Die missbrauchen das HTTP- Protokoll.

Ja.

Dieses sieht vor, daß einer URI auch Benutzernamen und Passwörter übergeben werden können:

Eben nicht.

URI:
PROTOKOLL:[//][USER][:PASSWORT][@]SERVER[PFAD ZUR DATEI][?SEARCH 1][&SEARCH n][&SEARCH z][#LOCATION]

Eine gültige HTTP-URI sieht keinen Benutzernamen und Passwort vor. Siehe die entsprechenden RFCs.

Jedes einzelne dieser teile optionalen Elemente ist durch serverseitiges Scripting in der Sprache Deiner Wahl ermittelbar

Nein. Die Browser, die diese illegale Syntax verstehen, senden den Benutzernamen und das Passwort dennoch erst, *nachdem* sie eine 401 Authentication Required antwort erhalten haben (und das auchnur, sofern Benutzername *und* Passwort in der URL angegeben wurden, ansonsten wird der Passwort-Abfrage-Dialog angezeigt), daher sind beim ersten Request die Daten serverseitig *nicht* auswertbar - und auf der Startseite eines großen Unternehmens einen 401-Header zu senden, halte ich für ziemlich gewagt. ;-)

Das geht zur Not auch mit Javascript. (nicht empfohlen)

Die sogenannten @-Domains funktionieren *nur* mit JavaScript, da der Teil vor dem @ eben *nicht* serverseitig auslesbar ist.

Viele Grüße,
Christian