1. die sache kannst du finden unter: Basic Authentication
2. das pass wird base64 verschlüsselt gesendet (nicht sicher, quasi wie klartext)
3. Im HTTP Header, bsp: Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
4. es gibt keine infos... wenn password falsch kommt die sache nochmal... nach 3 mal nen auth required error... wenn ok dann wird die seite angezeigt.

hier das RFC dazu: http://www.faqs.org/rfcs/rfc2617.html