Hallo Rolf,

und weil Http prinzipiell stateless ist, d.h. den Zustand "angemeldeter User" gibt's gar nicht. Es gibt nur "User mit ordnungsgemäß verschlüsseltem Cookie, der zum hinterlegten Passworthash passt".

bei HTTP-Auth gibt's auch kein Cookie, sondern die Anmeldedaten stehen in dedizierten HTTP-Headern. Dazu kann auch noch ein Keks gereicht werden, der hat dann aber nicht unmittelbar mit HTTP-Auth zu tun.

Es gibt auch kein Logout, und mMn auch keinen Ablauf des Login, es sei denn man kann diesem Keks ein Verfallsdatum aufdrucken (oder ist das ein Krümelkeks der beim schließen des Browsers zerbröselt?)

Das ist zum Teil von den Browsereinstellungen abhängig. Wird ein Cookie vom Server als Session-Cookie ausgegeben, zerbröselt es beim Schließen des Browsers; ich habe meine Browser außerdem so eingestellt, dass sie beim Schließen die Keksdose generell ausschütten.
Die HTTP-Auth-Informationen werden beim Schließen des Browsers üblicherweise auch gelöscht. Mir ist nicht bekannt, dass man sie irgendwie persistent machen könnte.

Schönen Abend noch,
 Martin