Hallo Günter,

dann wieder zurück auf meine Seite geht, wird er nicht wieder zur Passwort-Eingabe aufgefordert.

Das liegt daran, daß der eingegebene Benutzername sowie Passwort vom Browser gespeichert werden und somit weiterhin verwendet werden.

Genau das oder einen Timeout (z.Bsp. User war 60min nicht auf der Seite) möchte ich mit .htaccess erreichen.

Die einzige Möglichkeit, zu unterbinden, daß der User nicht erneut in den geschützten Bereich gelangt, ist, alle Browserinstanzen zu schließen. Das ließe sich z.B. mit JavaScript bewerkstelligen, allerdings ist das keine sichere Lösung.

Was man noch machen könnte, ist, über ein serverseitiges Skript (z.B. Perl, PHP) einen HTTP-401-Header zum Browser senden zu lassen, wodurch der User erneut zur Passworteingabe aufgefordert würde. Gibt er dann kein Passwort ein, wird das bis jetzt gespeicherte gelöscht.

Berichtigt mich bitte, wenn ich falsche Informationen verbreite ;-)

Grüße aus Darmstadt,
  Benjamin