Hallo Thomas!

Hast du zugriff auf den Server auf dem deine Homepage liegt sprich kannst du dort ein Verzeichniss mit .htaccess schützen?

das wird Dich nicht unbedingt weiterbringen, da Du ja wahrscheinlich nicht willst, dass jedermann alle Meldungen der Anderen lesen kann, sondern nur der Empfänger der Meldung selber.

warum sollte das mit http-auth nicht möglich sein? Zum einen kann man die Nachrichten mit REMOTE_USER filtern, und sonst kannst Du auch für jeden user ein eigenes Verzeichnis anlegen.

Du wirst also um eine Authentifizierung nicht herumkommen.

ist HTTP-Authentification keine Authentifizierung?

Die kannst Du wahlweise mit Auth-Credentials (Stichworte: Error 401-Header) oder mit Cookies und z.B. einer Sessionverwaltung aufbauen. Bei Cookies empfehle ich die Verwendung von zwei Cookies, die zusammen passen müssen.

Was heißt das? Wieso zwei und in wiefern sollen sie "zusammen passen"?

Damit kann man eine Session dann genauso "sicher" machen, wie beim Verfahren mit Auth.

jepp, man kann durchaus, sogar noch sicherer, aber auch unsicherer.

Echolon und NSA und Co. kannst Du damit allerdings nicht aussperren.

wieso nicht?

Die Überprüfung, ob ein User berechtigt ist, kann man dann am Besten in einer Datenbank ablegegen. Du fragst dann einfach ab, ob es genau ein Datensatz mit passendem Loginnamen und Passwort existiert. Das musst Du dann bei Auth auf jeder Seite machen. Bei Sessions natürlich nur zum Aufbau der Session. Dafür musst Du da aber auf jeder Seite prüfen, ob der PIN-Cookie zum "Session-Cookie" passt. Sonst wird der User gleich wieder auf die Anmeldeseite gestellt.

Wofür ist der Pin-Cookie? Die Wahrscheinlichkeit das Du eine SessionID rätst ist fast = 0, also wofür der 2. cookie?

Viele Grüße
Andreas