Hi,

Natuerlich, siehe oben. Bevor er nachfragt, kann der Client ja noch nicht wissen, ob der Benutzer berechtigt ist, die Ressource abzurufen. Erst wenn dieser durch "Wegklicken" der Zugangsdatenabfrage klar macht, dass er keine Zugangsdaten eingeben moechte, weiss der Client, dass er die gewuenschte Ressource vom Server nicht erhalten wird - und kann dann stattdessen ggf. die Bildressource ausgeben, die vom Server als Alternativinhalt mit der 401-Antwort geliefert wurde, bzw. einen "broken image"-Platzhalter anzeigen.

Prinzipiell richtig. Wenn es aber danach geht, kann man 95% der Features von Apache und 80% der Features von Firefox entsorgen, weil man sie eigentlich nicht braucht.

Du kannst das Antworten auf Teile meiner Antwort auch lassen, wenn dir gerade mal absolut nichts zum Thema einfallen will :-)

Entweder darf der Client nur für fehlgeschlagende HTML-Dokumente nach einem weiteren Versuch für Login+Passwd betteln oder der Server darf für bestimmte Dokumente kein 401 bringen (was prinzipiell geht, wenn man sich an den Quellen vergreift).

Und dann?

Ohne 401 Antwort wird sich der Client m.E. auch nicht verpflichtet fuehlen, dem Server Zugangsdaten mitzuteilen, selbst wenn er sie haette.

Vielleicht solltest du lieber zu einem andern Verfahren als HTTP Auth greifen, um bestimmte Inhalte zu schuetzen.

MfG ChrisB