Hi. Wenn ich mich bei einem Webserver authentifiziere, speichert der Browser das Login in einem Cache. (Weil HTTP ja nicht sessionorientiert ist wie zB FTP und man sonst bei jedem Bildchen nach dem Login gefragt werden würde, logisch). Das ist allerdings ziemlich ungeschickt, wenn das an einem Mehrbenutzerplatz passiert, und jemand vergisst, den Browser zu schliessen. Noch schwieriger wird es bei Authentifizierungen per Zertifikat. Solange der Browserprozess nicht richtig geschlossen wurde, kann jeder die (SSL) Verbindung übernehmen. An hijacken der Verbindung durch MITM oder lokalen Sniffern gar nicht erst zu denken... Daher suche ich nach einer Lösung, möglichst serverseitig dieses Konfigurierne zu können. Gibt es irgendwo brauchbare Informationen, wie dieses Caching funktioniert, oder ob man das Problem irgendwie umgehen kann? Gibt es vielleicht schon Lösungen, die zB mit einem Sessiontimeout irgendwo? Ich würde gerne mit Apache unter Linux einen Webbereich aufsetzen, bei dem man sich mit einem (SSL-)Nutzerzertifikat _oder_ einer Username:Passwort-Kombination authentifizieren muss (je nach Sicherheitslevel). Diese ganze Absicherung ist aber ziemlich unnütz, wenn der Browser so schluderig mit dem Login umgeht... Danke für Tipps MfG Gregor Mit schönen Grüßen von Yahoo! Mail - http://mail.yahoo.de