Aber derzeit kann man als Provider auch kein Geschäft machen, wenn man den Kunden abverlangt, sich ein Programm für sichere Dateiübertragung zu kaufen.

Unter Unix, Linux und MacOS:   "ssh" aufrufen.

Hintergrudn bei allem: Die Uebertragung wird verschluesselt.
Dabei auch Kennung und Passwort.

Möglicherweise blöde Frage: FTP ist für Dateiübertragung, ssh für einen Shellzugang. Wo ist denn da der Zusammenhang? Der Hoster möchte seinen Kunden doch wohl eher lediglich die Möglichkeit bieten, Dateien abzulegen, als das Risiko einer ausgewachsenen Shell einzugehen?

Davon mal abgesehen verhindert ssh in keinster Weise das Problem, daß Promicha beschrieben hat. In den Linux-Distributionen, die mir bis dato untergekommen sind, war der komplette Verzeichnisbaum für alle Anwender standardmäßig lesbar. Deshalb ist es auch nicht verwunderlich, daß er per CGI (suexec oder nicht) das System durchwühlen konnte - das ist garantiert bei fast allen Hostern so.

Die passende Sicherungsmaßnahme wäre das simple Löschen der allgemeinen Zugriffsrechte; will man auch die (trotzdem immer noch offenen) Benutzer-HTML-Verzeichnisse sperren, kommt man um einen Eingriff in den Kernelcode nicht drumrum.

Gruß,
  soenk.e