Hi Christian!

Auch wenn ich gerade nicht den Nerv habe, mich damit ausführlich zu beschäftigen:

Hat etwas gedauert bis ich da so halbwegs durchgestiegen bin, und mir sicher war wie die Verschachtelungen genau auszusehen haben ;-)

Ich verstehe nicht wirklich was es für einen Sinn macht sowas kompexes wie die HTTP-Authentifzierung zu entwickeln, und dann so eine simple Kleinigkeit wie das ausloggen nicht wirklich zu implementieren,

Beschwere Dich: http://bugzilla.mozilla.org/

Wenn es denn ein Bug ist, ich befürchte fast das ist alles so gewollt.

Ja, das ist das eine, das andere ist dass die Entwicker der RFCs mit zu wenig Nachdruck entsprechendes fordern, am besten extra Logout-Mechanismen, sondrn im Gegenteil wurde den Entwicklern ausgerecvhnet an dieser Stelle Freiraum eingeräumt. Mit einem vernünftigen Logfout was wirklich einfach zu implementieren wäre, würde das mögliche Anwendungsgebiet von HTTP-Auth erheblich anwachsen.

Naja. Mir ist eben aufgefallen, dass "opaque" zu Digest Auth gehört, was man ja nicht ganz so einfach mit PHP zu implementieren ist, aber ich halte auch das für möglich, vermutlich besteht die Hauptschwierigkeit darin das Passwort zu ermitteln, aber dessen Verschlüsselung funktioniert ja mit dokumentierten Verfahren, ich werde es sicher auch ausprobieren ;-)
Denn wenn ich dasrichtig gelesen habe bietet Digest-Authentifzierung ein ganz feines Schmankerl: Man kann sich für mehrere Hosts auf einmal einloggen, das hieße forum.de.selfhtml.org/my selfcomunity.teamone.de/my... das wäre ja nicht schlecht, ich schau mir das jedenfalls mal genauer an.

Wie war das noch mit den Clients und Digest-Auth? IMHO ab 5er Versionen unproblematisch, nur der IE hatte da die ein oder andere Macke, oder?

Grüße
Andreas