Und warum ist es für Dich so unangenehm, den Fall "Benutzer hat keine Zugangsdaten" und den Fall "Benutzer hat keine Zugangsdaten und bricht den Vorgang ab" als ein- und denselben zu behandeln?

Also, weil ich, wenn die Zugangsdaten falsch waren, das Eingabefenster wieder zeigen lasse.

Bei "Abbrechen" hingegen gehe ich eher davon aus, daß der User es sich anders überlegt hat. Man kann das Projekt nämlich auch unangemeldet nutzen - ähnlich wie hier.

Gut, aber wenn sowohl Name als auch Passwort gänzlich leer waren, ist es doch naheliegender, dass es sich nicht um eine fehlerhafte Eingabe handelt (darunter verstehe ich Tippfehler), sondern um jemanden, der keine Zugangsdaten hat und somit unangemeldet bleiben möchte. Das wäre sozusagen eine Anmeldung als niemand.
Diese Behandlung hätte sogar den kleinen Vorteil, dass man die Anmeldung mit der Return-Taste einfach wegdrücken könnte ohne erst auf "Abbrechen" zielen zu müssen.

Aber, zugegebenermaßen, das ist Geschmackssache.

Das Protokoll sieht jedenfalls keine Unterscheidung vor, es gibt nur die Nachricht, dass Zugangsdaten benötigt werden.

Also in jedem Fehlerfall auf eine Errorseite verweisen?

Verweisen schon gar nicht, direkt ausgeben. Eine Fehlermeldung gibst Du bereits mit der Authentifizierungsaufforderung aus (die die Browser allerdings erst bei "Abbrechen" anzeigen), die zweite wäre statt des 401 ein die Prozedur abwürgender 403 ("Forbidden", zum Beispiel nach drei erfolglosen Anmeldeversuchen).

ist im Browser nicht sichtbar. Im Quelltext steht allerdings der ganze Quelltext der Seite. Was'n das???7

Falscher MIME-Typ, Fehler im Quelltext?