Una vez autentificado controlo otra serie de permisos inicializando una sesion con el $_SERVER['PHP_AUTH_USER'].
Entonces es seguro que no se puede cerrar la sesion.
¿No se podria obligar al apache a que reinicializara esas variables? asi saldria otra vez la ventena de identifiicacion.
Otra pregunta. ¿Es mas seguro las sesiones que la identificacion http?