Tach!

1.) Das Realm wird nur mittelbar vom Server, genauer vom Skript, welches die Header erzeugt, gesendet.

Nein, da steht ein <Location "/my"> mit Auth-Zeugs drin. Und ein DirectoryIndex. Mehr nicht.

2.) Die Auswertung von Referer und angeforderter URI erfolgt vorher.

Der DirectoryIndex für / und /my/ zeigt auf die C-Programme, die das Forum ausmachen. Die URL-Auswertung findet also innerhalb der Forum-Software statt.

3.) Bleibt die Frage, wie man angemeldete Besucher ohne ein weiteres Cookie erkennen kann. Und in dem Punkt sehe ich schwarz:

Wenn die RewriteCond das nicht kann, gehts nicht. Allerdings gibts da AUTH_TYPE, von dem ich nicht weiß, womit das gefüllt ist.

Sende ich nämlich das Realm, bekommt der nicht angemeldete Benutzer die Passwortabfrage angezeigt. Sende ich das Realm aber nicht wird sich der Browser eines angemeldeten Benutzers einen Dreck drum scheren, das ich wissen will, ob er angemeldet ist. Damit wird das Problem unlösbar.

Die Frage ist, senden die Browser von selbst die Auth-Daten mit, wenn sie bereits die Zugangsdaten kennen, auch wenn sie von außerhalb auf das /my geschickt werden oder lassen sie sich erstmal bitten?

dedlfix.