Hallo, Pascal!

Ich habe nicht so viel Ahnung in diesem Gebiet.
Reicht es tatsächlich aus eine index.html zu haben, damit man nicht mehr in den Ordner kommt, wo ev. auch "geheimere Dateien" sind (vorausgesetzt ein Angreifer kennt den Namen der geheimen Datei nicht)?

wenn es der admin des servers nicht geändert hat, liefert der server bei einer pfadangabe ohne dateinamen die index.html aus.
man kann sowohl diesen voreingestellten namen ("index"), als auch das verhalten ändern. dann würde der server automatisch eine indexierung des ordnerinhaltes vornehmen und diese generierte seite ausliefern.
es ist also abhängig von der konfiguration des servers, ob das mit der index.html so funktioniert.

mit der index.html kommt man noch in den ordner, es wird aber nicht mehr der inhalt angezeigt.
"geheime" dateinamen lassen sich dann erraten.
"sichern" kann man den ordner z.b. per http-auth (auch unter dem begriff .htaccess bekannt).
dann wird bei jedem zugriff auf den ordner ein passwort abgefragt (welches der browser sich nach der ersten eingabe wärend einer sitzung merkt und bei jedem weiteren aufruf wieder mitsendet, bis das browserfenster geschlossen wird).

freundl. Grüsse aus Berlin, Raik