Hallo,

Falls der User später wiederkommt, wird sein Passwort wieder
automatisch gesetzt (mit IE z.B.).

Was meinst Du mit "spaeter"?

• 1. Waehrend der gleichen "Sitzung", d.h. wenn der Benutzer
        den Browser nie geschlossen hat?
• 2. Wenn der Benutzer den Browser schliesst und zwei Tage
       spaeter wiederkommt?

Gegen 1. kannst Du rein HTTP-Auth-maessig (fast) nichts machen.

Sobald der Browser mit einer Benutzername-/Kennwort-Kombination
irgendwo reingekommen ist, merkt er sich diese, bis er geschlossen
wird oder bis er einen 401-Header kriegt, aus dem er dann schliesst,
das Passwort sei nicht richtig.

Die Ansaetze, bei Passwortschutz mit .htaccess auch ein
"Ausloggen" zu ermoeglichen, beruhen auf Basteleien,
mit denen trotz korrektem Passwort ein HTTP-401-Header
geschickt wird, und bei denen der Browser dann meint, das
Passwort sei falsch.
Ist aber wie gesagt nur ein unzuverlaessiges Gebastel.

Du koenntest - statt HTTP-Auth., bei der der Browser bei jeder
Anfrage Benutzername und Passwort schickt - Sessions
verwenden, und dann beim aktiven "Ausloggen" die Session
zerstoeren. Um eine neue Session zu kriegen, muesste der
Benutzer dann wieder auf die "Einloggen" Seite.
Aber wenn Du als Schutz fuer diese Seite HTTP-Auth.
verwendest, dann merkt sich der Browser die Benutzername-/
Passwort-Kombi fuer diese Seite, bis er geschlossen wird
oder bis er dort eine 401-Meldung kriegt (siehe oben).

Gegen 2. kannst Du sowieso nichts machen.
Wenn ein Benutzer so bequem und fahrlaessig ist, sich die
Passwoerter permanent von seinem Browser speichern
zu lassen, kannst Du nichts dagegen tun.

Gruesse,

Thomas