Sauberer wäre es IMO, du würdest auf HTTP-AUTH verzichten, dann die Bilder in ein Verzeichnis legen, das mit HTTP gar nicht erreichbar ist (also außerhalb des Document Root) und sie ebenfalls mit PHP ausliefern. Dieses PHP-Script prüft dann die Berechtigung anhand des Login-Status und kann sogar im Fehlerfall ein Ersatzbild ausliefern.

Das kostet aber einiges an Serverleistung, weil dann jedes Bild mit einem PHP-Schaufelchen über die Sicherheitsbarriere geschippt werden muss, statt direkt ausgeliefert zu werden.

Dass die PHP Authentication und die Bilder-Authentication getrennt sind, scheint Maetzzen ja zu akzeptieren. Wollte man das mit EINER Authentication lösen, dann müsste man den Zugang zum ganzen Internbereich über .htaccess Regeln, sich im PHP drauf verlassen und dort keinen Login mehr machen. Man müsste dann nur wissen, wie man aus PHP auf den im Apache authentisierten User zugreift. Geht bestimmt, hab ich nur noch nie gemacht. Und wie man mit .htaccess eine ausgefeilte Userverwaltung macht, weiß ich auch nicht. Ich kenne das nur mit IIS und ASP.NET...

Rolf