Hallo Forum, insbesondere HTTP_Kenner ;-)

Ich habe bei mir ein wenig gebastelt und, da mein Test-Webserver permanent (mit Absicht) vom Internet erreichbar ist (Die Idee dabei ist, Leuten meine (dynamische) IP zu geben und die testen die Seiten dann...) habe ich über HTTP-Auth zwei User eingerichtet: Einmal Fabian (also ich *ggg*), der auf alles Zugriff haben sollte, und einen Gast, der auf bestimmte Ordner keinen Zugriff hat. So weit, so gut, das klappt auch prima.
Nun habe ich bei einer Unterseite aber noch einen HTTP-Auth-Mechanismus in PHP manuell gemacht. Dort wind andere Credentials gefordert, als beim "übergeordneten" HTTP 401. Der Anmeldedialog kommt auch in den meisten Browsern noch, die Anzeige der Seite jedoch nicht mehr. Ich denke nun, dass es daran liegt, dass sich die beiden HTTP-Auth-Bereich "überlagern", und die Browser zu dumm sind, die Credentials in der richtigen Reihenfolge zu senden. Das erzeugt eine 401-Endlosschleife und weg ist der Apache ;-)

Meine Frage nun: Ist es notwendig, die Credentials zu synchronisieren (d.h. das PHP-Script erfordert die gleichen Daten wie die in der .htusers...) oder geht das anders?
Ich würde nämlich ungern die gleichen Credentials benutzen, da ich das für eine (minimale) Sicherheitslücke halte. Doppelte Abfrage = doppelte Sicherheit, denke ich halt.

Grüße,
Fabian