Hello,

die scripts sind passwortgeschützt (Zugang mit unterschiedlichen Berechtigungen). A hat Zugriff auf alle Dokumente im Verzeichnis X, B hat nur Zugriff auf einzelne Dokumente. Wenn B aber den Verzeichnisnamen kennt, kann er mit etwas Fantasie Dokumentnamen (weiterer möglicher Dokumente im Verzeichnis) erraten, und direkt über die Adressleiste (unter Umgehung der php-Passwortabfrage) zu einem Dokument kommen, für das er keine Berechtigung hat.

dann hast du offensichtlich einen Fehler in deinem Sicherheitskonzept. Du könntest einen Berechtigungscheck in PHP mit dem Download der Datei kombinieren, siehe PHP-FAQ.

MfG
Rouven