Должен ли сайт, требующий аутентификации, всегда отправлять заголовок ответа WWW-Authenticate HTTP?

Недавно я пытался получить доступ к сайту (серверу авторов AEM), который всегда требует аутентификации. Я пытался использовать обычную аутентификацию в URL-адресе в адресной строке браузера следующим образом: http://admin:admin@localhost:4502/

Но когда я попробовал это, я получил следующее подтверждение безопасности (в Firefox 38.0.1):

Нажатие "Да" привело меня на страницу входа без аутентификации, по-видимому, игнорируя основные учетные данные аутентификации, которые я отправил. Следующие вопросы (и комментарий к ним) помогли мне понять, что это происходит потому, что сервер автора AEM не запрашивает учетные данные для аутентификации - он не отправляет заголовок ответа WWW-Authenticate HTTP:

• Как работает аутентификация http://user:pass@host.com?
• Почему браузеры не отправляют заголовок проверки подлинности, когда учетные данные указаны в URL-адресе?

Следовательно, браузер на самом деле не отправлял базовые учетные данные, которые я указал в адресной строке.

Так что это привело меня к вопросу, почему сервер-автор AEM, который всегда требует аутентификации, не отправляет заголовок HTTP WWW-Authenticate. Но это вызывает больший вопрос:

Для сайта, который всегда требует аутентификации, разумно ли ожидать, что этот сайт будет всегда отправлять заголовок ответа WWW-Authenticate, или есть веские причины не включать этот заголовок, даже если аутентификация действительно требуется?