Schritt 2: Statt eines Links z.B. auf "datei" schreibst Du "/cgi-bin/download.cgi?file=datei&user=Benutzername". Als Benutzernamen setzt Du natürlich das ein, was Du als Benutzername ermittelt hast.

Genau das würde ich *nicht* tun, denn jetzt kann man die URL editieren und den Benutzernamen hacken.

Abfragen von REMOTE_USER auch in download.cgi ist wesentlich sicherer.