Hi dedlfix!

Generell ist das, was hier beschrieben ist, klar. Es sieht doch dann so aus, dass der Server für die session eine ID erzeugt, sie sich "merkt" und an den Client sendet. Für jede Anfrage des Client ist von diesem im Folgenden die SessionID mitzusenden.
Wird der logout betätigt, wird die Session ID auf dem Server "vergessen".

Jetzt die konkreten Fragen:

Da es im Webumfeld den Zustand eingeloggt nicht gibt, simuliert man ihn gern, beispielsweise mit einem Cookie und einem Timeout. Dann würde eine "Logout"-Funktion den Keks löschen, woraufhin der nächste Zugriff ohne Zugangsdatenkeks erfolgt.

Verstehe ich richtig, dass das Cookie nichts anderes ist, als eine Clientseitige "Krücke" um zu vermeiden, dass bei jeder Serverantwort die SessionId als Input Parameter in weitere Anfragen vorcodiert werden muß, sondern stattdessen Clientseitig aus dem Coockie wieder gelesen werden kann? Dann fände ich die Technik ohne Cookie aber vorteilhafter, also dass Server und Client mit der SessionID "Ping Pong" spielen.

Alternativ bietet sich das HTTP-eigene Zugriffsschutzverfahren an, dann aber über den PMA, nicht über das Verzeichnis in dem er liegt. Ein Logout entspricht in dem Fall dem Schließen des Browsers.

Hier hakt es ein bischen: das HTTP-eigene Zugriffsschutzverfahren: hierunter würde ich verstehen, ein Verzeichnis mittels .htaccess zu schützen. Wie soll ich denn das nun über den PMA machen?

Danke für die bisherigen Erklärungen,
Richard