Hallo Sven,

Nein, standardmäßig wird der Server das nicht tun. Übrigens ist der HTTP-Code 401, und nicht 403, das nur am Rande.

kann sein, ist ja auch schon so spät ;)

Wobei ich unter "standardmäßig" verstehe, dass keine besondere serverseitige Programmierung erfolgt.

sprich simple Apache-HTTP-Authentifizierung.

... (der Anfänger würde sagen: "mit .htaccess")

bei mir ist es direkt in der httpd.conf gespeichert.

, dann ist die einmal gelungene Anmeldung solange gültig, wie der Browser die Anmeldedaten bei sich speichert.

hmmm...

Und das kann zeitabhängig sein (das wäre dann Einstellungssache beim Browser selbst, in den Benutzereinstellungen), so ein Verhalten wäre mir aber neu. Üblich ist, dass eine Anmeldung prinzipiell unendlich lange dauert, solange der Browser nicht beendet wird.

wie ich überlegt habe...

Wenn man nichts irgendwo speichert, also der Browser das Passwort _nicht_ speichern soll, dann wäre man ja trotzdem noch angemeldet. Der "folgeuser", der nicht authorisiert sein soll, braucht nur in der History oder im "Verlauf" nachzuschlagen und schon ist er drin... naja, das ist ja dann auch egal 8]

eben

Wenn der erste Benutzer sich irgendwo anmeldet, und dann den Browser _nicht_ schließt, und danach der zweite Benutzer denselben Browser weiterbenutzt, _dann_ ist das ein Problem.

IE kann und will sich ja afaik sowieso auf Windows-systemen ab 98 nicht ganz schließen.

Allerdings hast du da natürlich einen wichtigen Punkt angesprochen: Es wäre beispielsweise undenkbar, dass man sich bei seiner Onlinebank mit HTTP-Authentifizierung anmeldet, egal wie lang die eigene Kontonummer und PIN ist (je länger, desto unratbarer). Denn es ist Kern des Sicherheitskonzeptes, dass eine Session nach kurzer Zeit der Nichtnutzung verfällt und eine Neuanmeldung erforderlich macht - idealerweise verfällt die Session und löscht dabei auch gleich die letzte aufgerufene Seite, ansonsten kann jemand, der den (ja offenbar verlassenen) Rechner benutzt, zumindest noch die letzte Ausgabe lesen, was nicht unbedingt im Sinne des Accountinhabers sein muß.

eben.....

Solch ein Auslogg-Vorgang läßt sich prinzipiell auch mit HTTP-Authentifizierung bewerkstelligen - allerdings nur mit serverseitigem Scripting (PHP als Apache-Modul, nicht als CGI, ginge beispielsweise), nicht mit .htaccess. Näheres dazu (Ausloggen bei HTTP-Auth) steht im Archiv - Alexander Korthaus hat dazu mal eine Methode mittels PHP gefunden.

jep ;)

WauWau