Hoi,

Noe. So ist kein Session-Management moeglich. Ich kann sagen,
der und der User war es, aber nicht, obs auch derselbe PC war
oder so.

...aber das gilt doch für eine Session-ID auch. Ob ich nun
http://bla.de/x.pl?session=abc von dem Rechner, mit dem ich mich
eingeloggt habe, eingebe oder einem anderen spielt doch auch keien
Rolle, oder sehe ich das falsch?

Ja, siehst du. Beim Session-Management geht es darum, den User
*eindeutig* identifizieren zu koennen. Dafuer erstellt man beim Login
eine (fast?) eindeutige ID und legt mit dieser ID als Schluessel
Daten ab. Dabei ist es total egal, ob der User 3x oder 4x mit dem
Namen 'ckruse' eingeloggt ist, oder ob er sich x mal unter einem
anderen Login anmeldet. Bei Basic oder Digest Authentification wird
die Erkennung des User *nur* anhand von Login und Passwort gemacht.
Das bringt nichts: bei verschiedenen Hits koennen genau so gut 3
User mit derselben Kennung auf die Ressource zugreifen. Das sollte
bei der von mir beschriebenen Methode (fast) ausgeschlossen sein, da
dort die Erkennung ganz anders funktioniert und fuer jede *Session*
individuell ist, nicht nur fuer jeden User.

Gruesse,
 CK