Hola,

Zu meinem Erstauen scheinbar ohne Probleme hab' ich gestern noch ne kleine HTTP-Authentizifierung in meinen Apachen reingebaut 8], und diesbezüglich ein kleines Fragelchen, genau :)

Jo, also, der Benutzer hat sich jetzt mal angemeldet, das heißt, die HTTP-Authentifizierung hat wunderbar stattgefunden und der Benutzer ist ... naja eben angemeldet halt. Nun meine Frage: Wo stellt man die Zeit an, nach der die "Session" ungültig sein soll? Also ich meine, wenn ich mich jetzt beim Selfforum /my/-Bereich anmelde, und in einer halben stunde erst wiederkomme, dann werde ich gerade "erneut" gefragt, wenn ich zu ...de/my/ gehe.

Ok, im Protokoll ist es afaik nicht vorgesehen, immerhin kann man es auch nicht in einer direktive beim Apachen steuern. Entsprechend regelt es wahrscheinlich der Browser. Dafürsprechen würde zum einen, dass es bei einigen Browsern ganz nette einstellungen zu solchen dingen gibt, außerdem wäre der browser dazu perfekt geeignet, da er ja sowieso nötige sicherheit schaffen will. Getestet: Gerade mal zum IE gegangen und forum...de/my/ aufgerufen, wie erwartet kam der HTTP-Authentifizierungsdialog.

Was spricht nun gegen die hochstwahrscheinliche Tatsache, dass der Browser bestimmt, wie lange man noch beim Server "angemeldet" ist, ist, dass man sich mal erstens einen eigenen browser zusammenprogrammieren könnte (man bräuchte auch nur einfach ein bisschen am mozilla rumwerkeln ;), und schon könnte man unendlich lange "unangemeldet" dort rumwerkeln, eine Passwortauthentifizierung hätte also in sofern keien sinn mehr, wenn nach dem Benutzer xy der Benutzer za noch auf dem server surfen kann, was ja nicht beabsichtigt ist.
Andererseits müsste der Browser dem server irgendwie kenntlich machen, wann er ihm das passwort senden will oder nicht. Hierbei könnte ich mir jedoch vorstellen, dass das Kennwort sowie der Benutzername sowieso bei jedem Request mitgeliefert wird und der Browser dann einfach nach einer gewissen zeit inaktivität des users sich vorstellen könnte... "so, jetzt sende ich das passwort einfach mal nicht mehr mit" (bin also nicht mehr "angemeldet"), und schon fragt der server nach dem pwd, und der browser stellt sich sozusagen "dumm"....

Also, wie ist das denn da dann genau...!?

WauWau