Hallo nochmal,

Ich kenne ja nicht Deine komplette authentifizierung, ich wollte nur drauf hinweisen dass eine Prüfung ob der Client einen Cookie mit Namen der Session einen 32 Zeichen langen String sendet nicht wirklich sicher ist. Man sollte mindestens noch pprüfen ob die Session überhaupt auf dem Server vorhanden ist, oder besser noch den Benutzernamen und Passwort in der Session speichern und diese überprüfen,

Wie soll das denn gehen? Bei Authentifizierung über Sessions und Cookies wird i.d.Regel kein Benutzername übertragen. Wenn Du damit meinst, dass das Verfahren mit error401 und Session kombiniert werden soll, dann wird es wohl gehen. Da aber beide Werte immer noch im  Klartext übertragen werden, hat das eigentlich keinen Vorteil, außer höherer Serverlast.

Liebe Grüße aus http://www.braunschweig.de

Tom