Hi,

ist die Anmeldung erfolgreich wird man über die index.php mittels

<? HEADER("LOCATION: ../"); ?>

wieder zum Hauptverzeichnis geleitet.

Das heisst, die Ressourcen, auf die der Zugriff nur nach Authentifizierung stattfinden soll, sind eigentlich gar nicht per HTTP Auth geschuetzt?

Dort wo sich auch ganz normale Website-Besucher aufhalten frage ich nun jedes mal ab ob
[PHP_AUTH_USER] und [PHP_AUTH_PW] gesetzt sind.
und gewähre den Editier-Modus.

Ist diese Methode sicher?

Da habe ich irgendwie Zweifel dran.

Hast du mal ausprobiert, einer der pseudo-geschuetzten Ressourcen beim Aufruf einfach irgendwelche "Login"-Daten zu uebergeben?
Ehrlich gesagt weiss ich nicht, wie der Apache reagiert, wenn diese mit uebergeben werden, ohne von ihm explizit "angefordert" worden zu sein.

MfG ChrisB