Hallo,

mir ist nicht klar, was für eine Manipulation du meinst. Beschreib mal genauer!

Es gab da mal einen Bug mittels dessen es möglich war die URL-Anzeige zu beeinflussen. Das System war etwa so:
http://bank.example.com%STEUERZEICHEN%@phishing.example.net/evil.php
Durch bestimmte Steuerzeichen (chr(1) glaub ich) wurde die Anzeige ab diesem Zeichen unterdrückt, man hat nur den Anfang gesehen.

ah, ich erinnere mich dunkel. Stimmt, da war mal was.

Den Bug gab es in mehreren Browsern (FF und Opera waren auch betroffen) aber in allen außer dem IE wurde er gefixt.

Tatsächlich? Ich meine mich zu erinnern, dass er im IE auch repariert wurde. Ich sitze aber gerade am PC mit den Alt-Browsern (IE5.5, Opera8, FF3) und kann das Verhalten nur für diese Veteranen verifizieren.
In einem Testdokument habe ich diesen Link:

<a href="http://example.org/\x01@localhost">Follow me</a>

Dabei soll \x01 das Steuerzeichen mit dem Code 1 in C-Notation darstellen. Opera und Firefox zeigen das Linkziel beim Draufzeigen als "http://example.org/%01@localhost" in der Statuszeile an, IE als "http://example.org/ @localhost". Okay, im IE sieht das Steuerzeichen wie Whitespace aus, davon abgesehen ist bis hierher aber noch alles okay.
Klicke ich diesen Link nun an, versuchen alle drei Testbrowser, http://example.org/ anzuzeigen, scheinen also alles nach dem \x01 zu ignorieren. Ich finde, das ist zwar ein falsches, aber absolut gutmütiges Verhalten, denn es wird genau das Ziel aufgerufen, das der flüchtige Beobachter auch zu sehen glaubt.

Beim IE hat man einfach die Übergabe von Benutzernamen deaktiviert...

Und ich meinte "repariert", nicht "unterdrückt". ;-)

Muss mal den Link noch raussuchen. Vor allem auch, welche IE Versionen jetzt alles betroffen sind.

Ja, würde mich auch nochmal interessieren.

Ciao,
 Martin