Hallo,

Aber wie kommen dann reguläre Benutzer auf deine Seiten, die geschützt sind, wenn niemand die Adresse kennt?

Dass man etwas, was niemand sehen und auf das niemand zugreifen darf, sehr gut schützen kann, ist klar. Aber Zugriffsschutz bedeutet ja üblicherweise, die Leute, die zugreifen dürfen, von denen zu unterscheiden, die es nicht dürfen.

ein beispiel:
der member url ist http://www.domain.de/234567/geschützt.html
ich habe ein html formular das auf /cgi-bin/login.cgi zeigt.
Der berechtigte user geht nun auf das formular gibt seine daten ein und schickt es
an das login.cgi.das login.cgi checkt erst mal durch diverse tests,ob erstens
die daten von der berechtigten domain kommen,ob das password oder username grösser als 4 ist sowie das passwort
 und ob die daten nicht länger als 15 sind und wenn das alles zutrifft dann erst öffnet es die htpasswd datei und
klappert die liste ab,ob die eingaben auf ein user:verschlüsseltespassword passt,wenn ja gibt das login eine html seite aus mit
einem direkt link zum geschützten bereich,wenn nein dann leitet das login.cgi den client (bruteforce z.B.) direkt auf das logins.cgi,was dann prüft
wieviel mal dieselbe ip auf dieses logins.cgi zugreift.Falls die zahl höher als 3 ist dann wird in die htaccess deny from IPsowieso eingetragen.
Ich selbst gucke mir ab und an den errorlog an (ob mal wieder gescannt wird z.B. mit Bruteforce)und falls nötig ändere ich den pfad
von http://www.domain.de/234567/geschützt.html auf
http://www.domain.de/abcdef/geschützt.html
und ändere das login.cgi dementsprechend auf den neuen pfad.
Es ist klar das berechtigte member den wahren url kennen und vielleicht später,wenn sie nicht mehr mebers sind,versuchen
mit dem bruteforce reinzukommen,aber wie gesagt von zeit zu zeit ändert sich der pfad eben und somit sehen die einfach nur noch
404 not found.
Gruss vom Alain