Das bekannte Problem: REMOTE_USER ist leer. Ich habe natürlich den workaround (http://www.teamone.de/selfaktuell/schroepl02.htm) probiert:
Die HTML-Seite steht in einem geschützen Verzeichnis, von dieser Seite wird das Script aufgerufen. HTTP_REFERER steht richtig, trotzdem ist REMOTE_USER leer. Was nun?

Dokumentation des Webservers lesen bzw. ALLE CGI-Variablen ausgeben, die gesetzt sind.

Beispiel: WebSite 1.1 (und auch 2.0, denke ich, denn darauf läuft mein Programm angeblich ...) hält sich nicht an den Standard und nennt diese Variable AUTH_USER. (Ich mußte also bei der koexistenzfähigen Portierung von WebSite nach Apache erst mal $ENV{'SERVER_SOFTWARE'} abfragen - *das* unterstützen zum Glück WebSite *und* Apache!) und dann bedingt auf dessen Inhalt REMOTE_USER (Apache) bzw. AUTH_USER (WebSite) auswerten ... gnlpfts ...