Ich habe alle Variablen ausgegeben. Hier das Ergebnis, aber eben ohne REMOTE_USER:
SERVER_SOFTWARE   : Apache/1.3.6 (Unix)

Oh, wenn es ein Apache ist, dann ist meine Idee natürlich hinfällig.

Aber der REMOTE_USER wird auch wirklich nur dann gesetzt, wenn die URL selbst, auf die gerade zugegriffen wird, geschützt ist.
Ein Schutz nur allein der REFERER-URL reicht dafür nicht aus.