Благодаря комментарию FCTW, проблема была решена в Firefox 52: https://bugzilla.mozilla.org/show_bug.cgi?id=1312243
Патч защищает от злоупотреблений аутентификационными подсказками:
Обратите внимание, что это исправляет только тот случай, когда страница содержит iframe, который 1) запрашивает auth 2) перезагружается страницей верхнего уровня и включается. Если такая страница перезагрузится сама (а не только iframe), патч не поможет.