Ja natürlich gehört der Code auf den Server, SSI werden vom Apache ausgeführt.
geheim.shtml
<meta http-equiv="refresh" content="0; url=<!--#echo var="REMOTE_USER" -->">
<a href="<!--#echo var="REMOTE_USER" -->"><!--#echo var="REMOTE_USER" --></a>
der Apache liefert im Browser:
<meta http-equiv="refresh" content="0; url=Benutzername">
<a href="Benutzername">Benutzername</a>
Gruß Sabine
PS: ein Artikel zu SSI zum Nachlesen
http://de.selfhtml.org/cgiperl/intro/ssi.htm