Moin,

Das Problem mit HTTP-Auth ist nämlich, das viele der sog. Entscheidungsträger keine Ahnung haben, aber wissen dass es gut ist wenn man sich aus einer Anwendung ausloggt, so dass wenn man seinen Arbeitsplatz kurz verläßt nicht jeder Zugriff erlangen kann.

Der korrekte Weg wäre das Sperren der Arbeitsstation. Ich hoffe doch, dass man allen seinen Mitarbeitern in einer Firma einhämmert, dass sie _immer_ die Arbeitsstation sperren müssen, wenn sie sie verlassen. Auch wenn es nur für 5s an das andere Ende des Raumes geht. Strg-Alt-Entf Enter muß zum Reflex werden, der vor dem Aufstehen ausgelöst wird.

Also suche ich nach einer Alternative, aber ich sehe da wenig Aussicht auf Erfolg.

Man könnte mit Digest Access Authentication was basteln, indem man eine Art Session-ID im opaque-Feld an den Browser gibt und diese beim Ausloggen invalidiert. Leider unterstützt der Internet Explorer diese Authentifizierungsform nicht korrekt.