Hi frankie,

Durch das "Allow from www.domain.de" dachte ich, er lässt HTTP-Anfragen der Domain selbst durch...

Überlege dir mal, was das heißt: „Erlaube Zugriffe von www.example.org” (für Beispiele bitte immer example.org/net/com verwenden), die Betonung liebt hierbei auf VON. In diesem Fall ist example.org also der Webserver, auf dem deine Seite liegt. Zugriffe werden also nur von deinem Webserver aus zugelassen.
Der Besuch jedoch greift ja von sich zu Hause aus auf deine Seite zu, also z.B. von pD9049Bxx.dip.t-dialin.net (für einen T-Online Kunden). Obige Allow-Regel könnte also nur greifen, wenn der Besucher VON deinem Server aus zugreift, das wird aber nie der Fall sein.

Wenn du also Dateien komplett vor Zugriffen von irgendwelchen Besuchern schützen willst, dann ist „Deny from All” der richtige Weg. In allen anderen Fällen, wo der Besucher die Datei bekommen (z.B. ein Bild sehen) können soll, lasse ihn dieses am besten direkt aufrufen.
Eventuelle Referrer-Prüfungen sind zwar möglich, suggestiveren aber einer Sicherheit, welche unter Betrachtung der verwendeten Methode nicht gegeben ist. Insofern kann man IHMO Referrer-Prüfungen auch gleich sein lassen.

Viele Grüße,
  ~ Dennis.