Wenn man aber sowieso schon eine PHP-Session aufbaut, kann man auch den Zugangsschutz gleich mit PHP bauen ...

Das stimmt zu 100%.

Ich befürchte aber, dass es vielen als zu aufwendig erscheint, dann auch andere Dokumente/Dateien mit korrektem Content-Type auszuliefern.

Jörg Reinholz