hi,

ach so, langsam verstehe ich dein "problem".

Beim HTTP-Error 403 zeigt der Apache "Access denied" an. Die URL in der Adresszeile bleibt aber zB "www.xyz.at/ganzgeheim.php".
Somit weiß der potentielle Bösewicht aber, daß es die URI ganzgeheim.php gibt!

nein, weiß er nicht.

wenn du ein nicht existentes dokument aufrufst, bleibt bei vielen servern trotzdem die eingegebene adresse "stehen", obwohl die 404-"not found"-seite erscheint - daraus müsstest du ja dann analog auch hier wieder schließen, dass es das dokument gibt. das wäre aber ein bisschen paradox, oder ...?

Ich empfände es sinnvoller, die Existenz dieser URI nicht preiszugeben.

na ja, ob die adresse "stehen bleibt" oder nicht, hängt nur davon ab, ob du den server einfach so die fehlerseite ausliefern lässt - oder ob du ihn so konfigurierst, dass er den client per redirect-header auffordert, die fehlerseite explizit per GET anzufordern.

das zu beeinflussen, ist beim apachen ja denkbar simpel - ErrorDocument entweder mit relativem oder absolutem pfad angeben:

ErrorDocument 403 /blah/verboten.htm <- liefert fehlerseite einfach so aus

ErrorDocument 403 http://www.example.com/blah/verboten.htm <- löst expliziten redirect auf die fehlerseite aus.

siehe auch http://httpd.apache.org/docs/mod/core.html#errordocument

gruß,
wahsaga