Hallo Andreas,

warum sollte das mit http-auth nicht möglich sein? Zum einen kann man die Nachrichten mit REMOTE_USER filtern, und sonst kannst Du auch für jeden user ein eigenes Verzeichnis anlegen.

Ach ja, das hatte ich ganz übersehen. Ich bin schon so auf Datenbanklösungen (oder eben typisierte Files mit vielen vielen Sätzen) fixiert.

Du wirst also um eine Authentifizierung nicht herumkommen.
ist HTTP-Authentification keine Authentifizierung?

Ist der Pflegeaufwand über .hataccess nicht etwas groß?

Echolon und NSA und Co. kannst Du damit allerdings nicht aussperren.
wieso nicht?

Na, wenn die den ganzen Datenverkehr mitlesen, lesen sie auch Dein Schlüsselpaar (Liginname/Passwort) mit - oder?

Wofür ist der Pin-Cookie? Die Wahrscheinlichkeit das Du eine SessionID rätst ist fast = 0, also wofür der 2. cookie?

Nö, die Wahrscheinlichkeit ist durchaus berechenbar und im absolut endlichen Bereich. Ich muss auch zugeben, dass ich das hier mit dir nicht mehr diskutieren mag. Darüber gibt es schon genug Threads. HTTP ist eben ein
verbindungsloses Protokoll und kann daher keine eindeutige Userkennung/-sperre leisten. Der Client kann also sooft er will (zur Not über verschiedene IPs) versuchen, eine Sessionnummer zu treffen. Die einzige Möglichkeit festzustellen, ob eine Sessionnummer erraten werden sollte, ist eben ein zusätzlicher PIN-Cookie (oder ein anderes zweites Credential).

Letzte Wintergrüße aus http://www.braunschweig.de

Tom