Hallo zusammen
Ich habe eine Verwaltungs-Seite, die per .htaccess geschützt wird.
Dort gibt es die Möglichkeit, sich wieder auszuloggen.
Da ja Name & Passwort bei einem .htaccess-Schutz im Browser zwischengespeichert werden, ist der einfachste Weg (den ich bisher gefunden habe), eine solche Abmeldung zu realisieren, indem man dem Browser einfach neue, falsche, Login-Daten verfüttert.
Dies habe ich bisher so gemacht:
Das bringt die Browser dazu, die bisherigen Login-Daten mit den falschen zu überschreiben, und somit ist kein Zugriff auf die Seite mehr möglich.
Das hat bis vor kurzem sowohl in IE, wie auch in FF bestens funktioniert.
Nun funktioniert es aber in IE nicht mehr. Dies hat den Grund - wie ich mit Google herausfand - dass ein Sicherheitspatch für den IE Login-Daten in der URL verunmöglicht (->Syntax-Fehler). Dies kann in der Registry zurückgeholt werden, jedoch will ich nicht alle User dazu zwingen, ihre Registry zu ändern.
Nun meine Frage:
Kennt jemand von euch noch eine andere Möglichkeit, sich in .htaccess auszuloggen…?
Abgesehen davon, dass es bei HTTP Auth prinzipbedingt keinen “Logout” geben kann (weil es eben auch kein “Login” ist) - wenn du den Server dazu bringst, auf eine Anfrage nach einer Ressource innerhalb des gleichen Realm mit einem HTTP Statuscode 401 zu antworten (header()), dann sollte dich dein Browser erneut nach den Zugangsdaten fragen, und dann kannst du auf Abbrechen klicken.
Dies provoziert zwar schon ein Login-Fenster, jedoch vergisst der IE - zumindest bei mir - trotz 401-Error, die Login-Daten nicht. Wenn man auf die Startseite zurückkehrt und wieder auf “Login” klickt, kommt man ohne PW-Abfrage hinein… (Sprich: Die Login-Infos sind noch immer im Cache)
Hat vielleicht noch jemand einen anderen Vorschlag…?
Danke schon mal…
