Hi,

Wieso implementieren die Browser eigentlich keine Möglichkeit eines Logouts für HTTP-Auth?

weil Browser dazu ungeeignet sind. Es sind die Browser-_Hersteller_, die es implementieren müssten ;-)

Es wäre doch ein leichtes eine Schaltfläche zu schaffen

Nein, wäre es nicht. Wo soll die hin? Wo stört sie nicht, auch zumal sie fast immer deaktiviert ist?

Noch schöner wäre allerdings ein HTTP-HEader der den Browser dazu veranlassen würde, ist sowas geplant?

Ist mir nicht bekannt. Das Problem dabei wäre, dass diese Methodik für eine _lange_ Zeit äußerst unzuverlässig wäre (weil eben nicht überall bzw. fast nirgends implementiert), was im Umfeld der Sicherheit praktisch nutzfrei ist.

Also suche ich nach einer Alternative, aber ich sehe da wenig Aussicht auf Erfolg.

Die Autoren der Apache-Doku übrigens auch nicht.

Eine Möglichkeit wäre ja, wenn man aus der Passwortdatei den User kurzfristig entfernt,

Naja. Mindestens einen Request lang die Zugangsdaten ablehnt. Der Browser wird dann allerdings erneut die Eingabe anbieten, was auch nicht das Gelbe vom Ohr ist.

ich hatte erst dran gedacht [...]

Jiautsch. Ganz ehrlich: Finde Dich lieber mit der Nichtexistenz einer vernünftigen Lösung ab. Deine Versuche sind zwar recht weit gedacht, haben aber allesamt ihre Tücken und Fallstricke, die insbesondere an recht freizügiger Implementierungsmöglichkeit bei den Clients hapern. Du kannst hier nicht jede Verhaltensweise existierender und zukünftiger(!) Clients vorhersehen.

Dann könnte ich nämlich nach header() ein sleep(10) einfügen und danach die Änderung rückgängig machen.

Jiautsch. Kids, don't do this at home.

Was haltet Ihr davon? Wie würdet Ihr das machen?

Ich würde in Bugzilla einen Logout-Button vorschlagen. Wenn in Mozilla sowas implementiert wird, wird sich auch Microsoft in absehbarer Zeit Gedanken darüber machen.

Cheatah