Hallo Tom,

wenn Du von OSI sprichst - HTTP Auth ist Teil von HTTP, also im Application Layer und damit Teil des Netzwerkprotokolls. Cookie Auth ist eine Anwendung von HTTP Cookies und liegt damit oberhalb des OSI-Stacks.

Aber wir streiten über Dinge, die mit der Frage nichts zu tun haben. Henry schreibt ganz klar HTTP Basic Auth, das schließt ein Cookie-Verfahren aus.

Beide Verfahren haben einen Zustand "abgemeldet", "Anmeldung läuft" und "angemeldet", aber bei HTTP Auth steuert das der Browser und bei einem Cookie-Verfahren steuert es die Anwendung dahinter (von Hybridverfahren abgesehen, die per HTTP Auth Seite einen Cookie als Ticket erstellen).

Ob ein Server mehr als Basic Authentication anbieten sollte, ist ebenfalls nicht die Frage. Henry hat browserspezifische Probleme mit HTTP Basic Authentication.

Der dafür genutzte Authorization Header sollte beim Übergang zu anderen Frames oder beim Öffnen von Popup-Fenstern mitkommen. Und er tut es nicht immer. Schätzt Du dieses Verhalten von Firefox als erwartungskonform ein, Tom?

Eine Idee, die ich bisher noch nicht hatte, ist HTTPS. Basic Auth macht man aus Sicherheitsgründen eigentlich nur über HTTPS. Vielleicht sind die Zertifikate, die für die Maschine1 und Maschine2 Verwendung finden, unterschiedlich. Das könnte eine Authorization invalidieren. Oder eine Maschine ist für http, die andere für https eingerichtet?

Aber bisher habe ich keine Idee, auf welchen Punkt man den Analysefinger legen sollte. Man müsste den Netzwerkverkehr im Gut- und Schlechtfall vergleichen.

Rolf