Короче.
Если кто не понял из вышележащего текста.
1. соединять НТТР авторизацию с сессиями - глупость.
2. "обнулить" переменные невозможно, потому, что их присылает БРАУЗЕР.
3. Заставить браузер не присылать их - нельзя.
Но.
1. Можно попросить браузер, чтобы пользователь ввел логин с паролем еще раз.
2. Так же, нет никаких проблем с тем, чтобы просто не обращать внимание на присылаемые браузером логин с паролем.