Hallo!
Ich glaub da hab ich auch mal wieder was verstenden :-) Ich habe das in einem geschützten bereich mal so gemacht, das der Benutzer Seine Daten eingibt, diese per SSL übertragen werden, und auf dem Server wird dan mit Hilfe den in der DB geguckt, ob die Zugangsdaten korrekt sind. Dannach ist es aber im pribnzip direkt wieder vorbei mit der Sicherheit - ich mache das nömlich mit Sessions, da könnte man es ja schaffen, eine aktuelle SessionID zu erfahren, dann ist man drin - obwoh ich auf jeder Seite die Zugangsdaten kontrolliere, die sind aber leider in der Session(auf dem Server!!!), und nicht im Browser gespeichert. Und da liegt dann also der Unterschied. Bei htaccess wird der Browser bei jedem Aufruf überprüft, bei mir wird nur geprüft, ob der Benutzer die im Cookie oder in der URL gespeicherte SessionID gültige benutzerdaten enthält. Ist das so richtig verstanden?
Aber in der Praxis - erraten kann man die PHPSESSID wohl kaum denke ich, also müßte man entweder auf einen anderen Computer der eingeloggt ist zugreifen und hätte da die Cookiedaten, aber könnte man dann nicht genau so einfach an die htaccess Zugangsdaten, die sind ja dann auch da irgendwo gespeichert(kenne mich da aber nicht aus).
Das Andere Risiko ist wohl, wenn die Daten unverschlüsselt über Unsichere Knoten im Internet übertragen werden, das da jemand die Daten mitliest. Könnte derjenige denn wohl genauso einfach die Daten die im Cookie stehen mitlesen, genau so einfach wie das was im GET Request steht?

Viele Grüße
Andreas

PS: Erst wenn man die Schwachstellen kennt versteht man solche Sachen und kann was dagegen unternehmen!