Ich habe keinen IE, kann aber zusätzlich zu deinen Erfahrungen mit Firefox und Chrome ergänzen: Auch mit Opera läuft es so, wie es vermutlich sein soll.
Das habe ich mir schon gedacht
So ... du kombinierst hier zwei verschiedene Arten der Zugangskontrolle. Du hast zunächst ein in PHP realisiertes und vermutlich session-basiertes Login-System, das auch so zu funktionieren scheint, wie es soll. Zusätzlich hast du HTTP Authentication für den Zugriff auf die Bilder. Die beiden Verfahren haben nichts miteinander zu tun, deshalb kann ich auch weiterhin auf die Bilder zugreifen, auch wenn ich mich wieder "abgemeldet" habe.
Das stimmt, in meinem Internen Bereich hält die Session bis 15 min Inaktivität oder bis zur Abmeldung. Mit dem .htaccess im Bildordner habe ich eben versucht das Problem zu lösen, dass die Bilder durch den direkten Pfad erreichbar sind, ohne aktive Session.
Sauberer wäre es IMO, du würdest auf HTTP-AUTH verzichten, dann die Bilder in ein Verzeichnis legen, das mit HTTP gar nicht erreichbar ist (also außerhalb des Document Root) und sie ebenfalls mit PHP ausliefern. Dieses PHP-Script prüft dann die Berechtigung anhand des Login-Status und kann sogar im Fehlerfall ein Ersatzbild ausliefern.
Das hört sich genau nach dem an, was ich gerne haben möchte. Nur leider versteh ich nicht genau wie ich das anstellen soll.
Da muss ich wohl ein wenig herumforschen
Danke und VG
Maetzzen