Nun meine Frage: Wie bekomme ich den Client (Browser) dazu, diese Login-Daten _nicht_ mehr zu senden, bspw. wenn ich mich abmelden möchte, um mich z.B. daraufhin unter einem anderen Nutzernamen wieder anzumelden?

Ich kenn das Problem auch...
Habs zwar noch nicht versucht, aber schick dem Browser doch mal ein Unauthorized und ausserdem einen anderen Zonen-Namen zum anmelden ( WWW-Authenticate: Basic realm="Geheimer Bereich" )
Das dürfte zumindest erlauben, dass du dich mit einem neuen Benutzernamen anmelden kannst.

Vielleicht reicht das ändern des Zonen-Namens ohne Unauthorised ja dazu aus, dass der Browser keine Zugangsdaten mehr sendet....

werd das selbst mal testen :)

greetz RFZ