wenn man ein Explorerfenster offen lässt, in dem man irgendwann mal ein Passwort eingegeben hat, dann kommt jemand anders an den Rechner, er kommt zwar nicht an das Passwort ran, aber er kann sich darüber wieder einloggen, indem er einfach die loginpage reloadet und dann werden die daten neu übertragen!!!!

Wie kann ich das umgehen?

Geht zum Beispiel mit nem Timestamp, der mitübermittelt wird. Du schreibst in das loginformular per hidden nen timestamp und vergleichst diesen dann mit einem aktuellen, den du beim logincheck erstellst. Wenn die beiden mehr als X Minuten auseinander sind muss der User PW und Name neu eingeben. Wenn nun jemand zurück geht wird der alte timestamp übermittelt und ein login ist nicht möglich.