Hi,

mich interessiert, wie eigentlich htaccess funktioniert.

.htaccess ist (der Default-Name für) eine verzeichnislokale Konfigurationsdatei des Apache-Servers. Im Prinzip ist es also wie die httpd.conf, nur dass diese Datei bei jedem Request an den Server erneut eingelesen wird, und dass die Konfiguration halt nicht global gilt, sondern nur für den Verzeichnisbereich.

Ich habe festgestellt, dass für die Funktion von htaccess kein Cookie abgelegt wird

Nein, die Datei interessiert nur den Server. Er liest sie bei Bedarf ein, analysiert ihren Inhalt, passt kurzfristig (nämlich für den Request) seine Konfiguration an und bearbeitet anschließend wie gehabt den Request. Keine Magie.

und doch wird einem der Zugang zu einer Seite nachdem man beispielsweise ein Passwort falsch eingegeben hat solange verwehrt bis man den Browser neu startet.

Wie bitte? Ach so, Du redest von HTTP-Authentication. Die hat nicht das geringste mit einer .htaccess-Datei zu tun! Ebenso gut kannst Du HTTP-Authentication in der httpd.conf einrichten, und andere Server beherrschen sie (oft) ebenfalls, obwohl sie von .htaccess gar nichts wissen.

Woran merkt der Server, dass der Browser neu gestartet wurde? Oder ist das nur eine Frage dessen, wie htaccess durch die Entwickler des Browsers implementiert wurde?

.htaccess hat auch nichts mit Browsern zu tun, die wissen davon noch weniger als andere Server. In knapp 100% aller Fälle würde ihnen nicht mal erlaubt werden, eine .htaccess-Datei anzufordern. Der Browser merkt sich lediglich die Credentials der Authentifizierung, um sie bei jedem Request innerhalb des jeweiligen Realms mitzuschicken.

Die Spezifikation von HTTP-Authentication findest Du in RFC 2617. Und noch einmal: Dieser Mechanismus hat *nichts* mit .htaccess zu tun. Überhaupt nichts.

Cheatah