Hi,

zu 1.
Der Web Server steht in einer Firma und da kann es mal passieren das nicht der richtige User am PC ist. Muss man halt den PC richtig schützen, richtig?

Ist hier "PC" der Server?
Das Problem "untrusted host" hatte ich auch schon einmal und habe einen Workaround mit Verschluesselung in Javascript gebastelt.
Der Code liegt vollstaendig heir im Archiv, muesstest mal nach "XTEA" im Zusammenhang mit meinem Namen suchen. Ist auf zwei Postings verteilt, also nichts vergessen.

zu 2.
klingt so als ob es nur mit dem einfachen .htaccess nicht geht. Mich interessiert wie es geht.

Dies kannst Du nur im Browser abstellen. Nicht vergessen: hardcodieren, sonst bringt das nix!
War doch exklusiv fuer's eigene Intranet, oder habe ich da 'was missverstanden?

Eine kleine Unannehmlichkeit fuer den Benutzer gibt's, wenn Du das zu brutal implementierst, dann muss er sich fuer jedes kleine Bildchen o.ae. neu ausweisen. Nicht nur deswegen halt ich es fuer den falschen Weg: Du versuchts ein nicht-technisches Problem (die Benutzer loggen sich nicht sofort nach Gebrauch aus) durch technische Mittel zu loesen. Lass Dir gesagt sein: das haut nie hin. Eine sorgfaeltige Schulung mit ordentlich Zuckerbrot und moeglichst wenig Peitsche tut da nicht nur mitunter Wunder sondern spart auch langfristig Geld.
Zudem solltest Du, wie Martin schon ganz richtig anmerkte die Sicherung des Servers wirklich nochmal ueberdenken, wenn da jeder mit seinen unegalen Fingern dran rumpfuschen kann ;-)

so short

Christoph Zurnieden