Moin!

Das bedeutet, egal ob der User neue Seiten anfordert oder nicht, dass er nach 30 Minuten immer wieder sein Passwort eingeben muß?
nein, da habe ich mich undeutlich ausgedrückt - nach 30min _Inaktivität_ wird der User zwangs-ausgelogt.

Das ist normal. Löst dann aber die angesprochene Problematik nicht.

Andernfalls ist es nämlich kein Problem, durch regelmäßige Aktionen (und sei es nur ein Reload der aktuellen Seite) die Session aktiv zu halten.
wer lässt schon seinen Rechner z.B. die ganze Nacht durchlaufen um eine bestimmte Seite regelmäßig neuladen zu lassen? Das halte ich (vor allem bei meiner Seite) doch für _sehr_ unwahrscheinlich :-)

Würdest du aber widersprechen, wenn ich als Beispiel für eine sinnvolle Anwendung ein Online-Bankkonto heranziehe: Jemand hat durch eine Phishing-Mail seine Zugangsdaten weitergegeben, das aber gemerkt und der Bank gemeldet - aber nicht schnell genug, der Betrüger hat sich bereits eingeloggt. Wenn es jetzt keine Möglichkeit gibt, den Bösewicht durch Kontosperrung aus dem Login rauszuwerfen, wäre das ein ziemliches Armutszeugnis.

- Sven Rautenberg