Sup!

Wenn Du den User mit .htaccess oder mit mod_auth_external oder sonstwie mit einem Apache-Authentifizierungsmechanismus authentifizierst, dann ist der User sowieso ausgeloggt, wenn er das Fenster zumacht.
Jedenfalls vergisst der Browser dann die ENV-Variablen, in denen das Passwort gespeichert ist waehrend die "Session" laeuft.
Und wenn die Verbindung per SSL und per POST laeuft, dann ist das schon recht sicher, oder zumindest sicherer als "Session-IDs" und GET.

Das groessere Problem ist, wenn der User das Fenster nicht schliesst und sich nicht ausloggt.

Gruesse,

Bio