Hi.

Unterbinde den Direktzugriff auf die zu schützenden Ressourcen per HTTP, und verlinke stattdessen auf ein Downloadscript, welches die Daten nach erfolgreicher Prüfung der Authentifizierung aus den jeweiligen Dateien liest und an den Client durchschleust.

Gute Idee, danke. Ist es unsicher, statt einer Id gleich den kompletten Dateinamen an das Downloadscript zu übergeben? Selbst wenn der Dateiname bekannt ist, kann die Datei nicht ohne Downloadscript heruntergeladen werden, wenn das Verzeichnis nicht per HTTP ansprechbar ist. Das Downloadscript kann ich ja noch zusätzlich schützen, in dem es nur ausgeführt wird, wenn der User auf der HP eingeloggt ist. Habe ich was übersehen?

MfG,
HP-Bauer