ich glaube der UnLoad-Event dürfte Dir im Prinzip nix nützen, da dieser erst ausgelöst werden
kann, wenn die Seite zuvor komplett geladen wurde.

Kleiner Tip:
a.) Du überdenkst nochmal Deine Implementation Deines Session-Handlings (PHP).

b.) Versuche doch die Authentifizierung nicht in einem Popup-Fenster durchzuführen,
sondern in einem <iframe>

Ciao
Sebastian

hi sebastian,

also mit onUnLoad klappt es schonmal nicht, das fenster ist futsch, noch bevor der handler in aktion treten kann (siehe anzeigebeispiel dort).

a.) bei nocat (http://nocat.net) gibt's kein PHP, es ist alles mit CGI-perl gemacht.

b.) ich frage jetzt lieber nit "was ist ein iframe?", sondern fürchte mal, daß der user die seite mit demselben auch nicht verlassen darf, wenn die regelmäßige erneuerung der authentifizierung klappen soll. das ist übrigens schon recht sicher gemacht, ein neues token je vorgang über https, das soll replay-attacken zum übernehmen einer sitzung zum scheitern bringen.

aber es gibt doch auch popups, die gar keine titelleiste und buttons haben, wie geht denn das?

gruß, ulric