Hallo!

das, was Du hier ".htaccess-Schutz" nennst, ist Basic bzw. Digest Authentication und erfordert eine Anmeldung des jeweiligen Client. Über URL-Kopie oder ähnliches kann das nicht geschehen. Entweder hat sich derjenige welcher mit dem selben Benutzernamen und Passwort eingeloggt, oder aber er hat den selben Browser verwendet, nämlich exakt den, den Deine Freundin nach dem Einloggen leichtsinnigerweise nicht beendet hat.

Aber wenn man sich jetzt meinetwegen fürs online-Banking irgendwo per Basic Authentication eingeloggt hat und das Browserfenster nicht schließt und auf eine ganz andere Seite surft. Werden die Authorisierungsdaten dann auch immer mitgeschickt, oder nur an den einen Server? Denn das wäre gerade bei Basic eine sehr große Sicherheitslücke, also von wegen Logs...!
Jedenfalls könnte man ja aus dem Netzwerk seiner Freundin an das Passwort kommen, indem man einfach den Verkehr mithört. Geht das eigentlich grundsätzlich von jedem Computer im LAN, oder nur wenn HUBs verwendet werden, so dass alle Pakete an alle geschickt werden? Denn sonnst wüßte ich nicht wie das funktionieren sollte?!

Grüße
Andreas