Moin,

Richtig, und genau das ist auch gewollt.
Wieso sollte dann bei fehlerhafter Auth ein 403 kommen?

Weil Torwächter eine Fehlerseite bei einem anderen Server haben möchte. Das impliziert, dass der Zugriff verwehrt wurde, also 403.

Diese Stelle verstehe ich bei deinem Posting nicht.

Beim Rest kann ich dein Missverständnis aber erkennen: Torwächter möchte den Zugriff bei korrekter IP-Addresse oder korrektem Passwort gewähren. Das war grade im Forum (ich glaube Andreas hatte gefragt) und wird beim Apache mit Satisfy any gemacht. Wenn die IP-Addresse aus dem zugelassenen Bereich kommt, wird der Request sofort beantwortet, wenn nicht, wird zunächst das Passwort überprüft und ggbf. mit 401 geantwortet. 403 hat hier an keiner Stelle irgendetwas zu suchen.

Was den zweiten Teil (Umleitung bei 401) angeht: Das kann man auch ohne Redirect-Status (und damit ErrorDocument 401 http://..) machen, zum Beispiel mit Refresh: 0; URL=http://... Von Skripten die versuchen manchmal bei einem falschen Passwort etwas anderes als 401 zu senden, halte ich in der Regel nichts.

--
Henryk Plötz
Grüße von der Ostsee