Hi!

[...] ist in meinen Augen absoluter Overkill und total unnütze Arbeit.

sehe ich genauso.

Ich nicht ;-) Ich fand es zumindst recht interessant für mich. Und es funktioniert wunderbar, die Arbeit habe ich mir einmal machen müssen.

Was wäre aber, wenn er auch Grafiken vor unberechtigtem Aufruf schützen will.

Das kan ich mit meiner Methode ebenso gut oder so schlecht wie ohne HTTP-Authentifzierung, denn da ich die Authentifzierung nur im PHP-Script durchführe, sind auch nur PHP-Scripte geschützt. Ich könnte das zwar mit einer htaccess verbinden, dann habe ich aber keine Kontrolle mehr über die HTTP-Header und kann es somit komplett vergessen(wegen der Logout-Problematik)

Angenommen er hat sie unter http://server.example/bilder/img0001.jpg, dann könnte der Pfad erraten werden.

Das kann man ja von mir aus, an die Grafiken des Designs kommt man auch einfacher. Die interessanten dynamisch generierten Grafiken werden mit PHP erzeugt, sind also ebenfalls geschützt. Im Prinzip sind statische Dateien alle uninteressant, und die die interessant sind speichere ich außerhalb des doc-root und gebe sie mit PHP aus.

Manche Programme, mit denen man Bildergalerien erstellen kann, verwenden immer Verzeichnisse / Dateinamen nach gleichem Muster.

Mag sein, ich programmiere aber keine Bildergalerie ;-)

Angenommen er möchte jetzt nicht diese umständliche Lösung mit HTTP-Auth

"umständlich"? Ach... ;-) Das Überlegen war umständlich, das Resultat ist gar nicht mehr so viel Unständlicher als eine reine Session-Variante.

Grüße
Andreas