Holladiewaldfee,

Aber: Die Dateien können ja noch über Direkteingabe in der Adressleiste angesteuert werden, ohne dass eine Authentifizierung kommt. Wie verhindere ich das?

Leg die Dateien außerhalb des Document-Root ab und stream sie dann :-)
Wenn Du die Dateien nicht außerhalb des DR ablgegen kannst gib ihnen die Endung .php und stream sie ebenfalls durch ein script. Wegen der Endung php können sie dann nicht mehr direkt aufgerufen werden, da der Webserver nur nen Haufen Fehlermeldungen ausspucken würde.

Ciao,

Harry