Moin!

PS: Ich sehe immernoch keinen Grund, bei Deiner Aufgabenstellung HTTP-Auth zu verwenden. Formular mit Passworteingabe sind inzwischen mehr zur Gewohnheit geworden wie HTTP-Auth-Fenster, daher zieht das Argument "gewohntes Fenster" nicht.

Insbesondere fällt mir der Widerspruch auf, der in Andreas' Argumentation liegt. Einerseits will er einen Logout hinkriegen, damit hinterher keiner anderer User mit demselben Browser mehr reinkommt. Andererseits ist der Unique Realm für ihn angeblich ein Problem, weil sich Browser dann die Anmeldedaten nicht mehr speichern können.

Diese ganze Geschichte mit den gespeicherten Passwörtern ist aber wirklich nur ein Benutzeraufklärungsproblem. Wer nämlich die Passwortspeicherfunktion seines Browsers verwendet (und das geht sowohl für Formulare als auch für HTTP-Auth), der birgt noch ein wesentlich höheres Risiko, als derjenige, der nach dem Nicht-wirklich-Logout eines normalen HTTP-Auth seinen Browser nicht schließt.

Wer aber ohnehin in einer Umgebung arbeitet, in der er seinen eigenen Rechner nicht aus den Augen lassen darf, weil sonst böse Elemente Mißbrauch betreiben können, der hat sowieso ganz andere Probleme, als einen nicht geschlossenen Browser.

Insofern versucht Andreas hier, mit aufwendigsten technischen Mitteln menschliche Probleme zu lösen, die technisch nicht lösbar sind.

- Sven Rautenberg