Das hängt immer davon ab, wie das Script die Eingabe verarbeitet. Simply Scripte könnten tatsächlich so arbeiten. Die Sache mit "user:password@" ging übrigens bis zu einem bestimmten Patchlevel aus dem letzten Jahr auch im IE. In anderen Browsern ist mir nichts bekannt. Aber wozu braucht man denn sowas bitte? Schließlich und endlich kann der Benutzer bei normaler HTTP-Verbindung zB das Paßwort einfach mitsniffen, egal wie du versuchst zu verhindern, daß er die Kombination aus User/Password zu Gesicht bekommt.