Hi,

Das hat dazu geführt, dass die Login-Seite *immer* ausgerufen wurde, egal, wie ich eine Seite im geschützten Bereich aufgerufen habe. Es erschien nicht einmal die Box zur Eingabe von Username und Password.

natürlich nicht. Der Client wurde (mit einem 3xx-Statuscode) auf eine Seite weitergeleitet, die nicht per 401-Status zu einem Loginvorgang aufforderte. Aus einem sehr ähnlichen Grund ist es nicht möglich, per ErrorDocument 401-Stati auf einen anderen Server zu schicken.

Selbst wenn ich die Seite mit
http://username:password@www.example.com/geschuetzerbereich/file.html
aufgerufen habe,

Was Du hoffentlich nur privat gemacht hast, da diese URL technisch illegal und somit keinesfalls veröffentlichungstauglich ist.

Schließlich habe ich statt $html = $cgi->redirect($new_url); einen einfachen HTML-Code zusammengebastelt, in dem ein "refresh" und zur Sicherheit auch noch ein JavaScript zur Weiterleitung ausgeführt werden. Jetzt funktioniert es plötzlich:

Logisch. Der Client hat eine Seite mit Status 401 bekommen.

Hat jemand eine Erklärung dafür?

Mach Dir einfach nur klar, welche Header von wem zu wem geschickt werden, und wie darauf jeweils reagiert wird. Es ist alles absolut stimmig.

Cheatah