header("Location: http://benutzername:passwort@domain.ch/shop/admin/index.php");

Es sendet eine inkorrekte URL, die Username/Paßwort enthält, an den _Client_.

Ja, und diese Daten sendet er auch noch unverschlüsselt...
Ich glaube, daß der aktuelle MSIE unter WinXP mit SP2 diese Form des Seitenaufrufes mit Login nicht mehr zuläßt. Nach irgendeinem Sicherheitsupdate funktionierte das nicht mehr, wenn ich mich recht erinnere.
100% sicher bin ich mir da nicht, aber in jedem Fall kann man sich nicht drauf verlassen, daß dieser Login so mit jedem Browser funktioniert.
Insofern sollte man sich besser etwas anderes einfallen lassen.

Gruß,
rob