Hi

btw: ich glaube ne .htaccess ist einfacher :-)

Das bei .htaccess Problem ist aber, das der User, sowie er sich einmal authorisiert, also eingeloggt hat, bis zum Schließen des Browsers oder bis zum Betreten einen _anderen_ realm authorisiert bleibt. D.h., besucht er zwischendurch andere Seiten (ohne .htaccess und ohne zwichendurch den Browser zu schließen) und kehrt dann in den geschützten Bereich zurück, kann er den betreten, ohne nochmal nach Username/pwd gefragt zu werden. .htaccess taugt also "nur" als Zugangsschutz. Um den User zu "überwachen", mußt Du was anderes machen. Du kannst z.B. zyklisch die Seite refreshen (<meta http-equiv="refresh" content="600; URL=http://www.domain.de/geschuetzte_seite/">). In der Seite rufts Du ein Script auf, das nichts weiter macht, als einen Zeitstempel + Username ($ENV) zu hinterlassen. Ein anderes Programm (nicht CGI, kann aber trotzdem Perl sein) startest Du alle 10 min auf dem Server (z.B. durch cron). Das löscht für alle "abgelaufenen" Zeitstempel die Temp-Dateien. Problematisch ist nur, wenn der User nach Löschen der Temp's auf die Seite kommt. Dann mußt Du alles wieder öffnen...

Gruß Frank