Andernfalls müsstest du zu diesem Zeitpunkt absolut sicher sein, dass jeder Request in dieses directorie nur die Datei ausliefern wird, oder sich nur auslieferbare Dokumente dort befinden.

Also würde bspw. eine .htaccess mit folgendem Inhalt

<FilesMatch ".*$" >
  ForceType application/octet-stream
  </FilesMatch>
ausreichen (es befinden sich nur die upgeloadeten Dateien in diesem Verzeichnis)?

FilesMatch ".*$"
matcht "ksdlf", "hdfh.", "dklk..", "fkjkdj..."

Wohl nicht, was du beabsichtigst.

Wenn du willst, dass schlicht alles in diesem Ordner via Browser Dialog zum Speichern angeboten wird, dann verwende ForceType generell, und nicht in einer FilesMatch Direktive.

mfg Beat