Kazuho@Cybozu Labs

　その中で、高木さんが、セッションハイジャックに強い HTTP 認証と、ログアウトができるセッション Cookie とを組み合わせることができないか、という提案をされ、その際のログアウト／セッション切れ処理をどのように行うか、という点が質疑で問題になっていました。具体的には、どのようなステートの際に、正しい username/password の組に対して 401 レスポンスを送信すべきか、という話なのですが、個人的には、そのような仕組は、あまり好ましくないと思います。
　というか、奥が開発・メンテしているウェブブラウザ Palmscape / Xiino では、送信したパスワードに対して 401 レスポンスが返ってくると「パスワードが間違っています」と表示していたような気がします。そういった事情もあり、正しいパスワードは正しいものとして扱っていただきたいところです。

　逆に、ダイジェスト認証でないと実現不可能なアイデアですが、セッションが切れたら realm を変えればいいのではないでしょうか？
　たとえば、Session ID を realm に使用するのが、単純できれいな解決策のように思われます。