Hallo Nico,

Für wirkliche Angriffe ist das Projekt kein lohnendes Ziel und der Schaden wäre überschaubar bis null.

Das ist eine Bewertung, die nur Du allein treffen kannst, da Du uns den fachlichen Inhalt deines Projekts nicht mitteilst (keine Kritik, nur Feststellung).

dass jemand die Kombination aus einer ID und einem UNIX-Timestamp errät

Das sehe ich anders. Gerade weil es ein Timestamp ist, kann man relativ gut abschätzen, in welchem Intervall sich der Timestamp aufhalten muss. Wenn ein Haufen Dateien schnell hintereinander generiert werden, haben sie ähnliche Timestamps und das Rate-Intervall ist noch kleiner.

Alternativ könnte ich ja zusätzlich noch einen random-Wert mit anhängen.

Das solltest Du definitiv tun. Und zwar an Stelle des Timestamps. Meine Empfehlung wäre, mit bin2hex(random_bytes(16)) einen 32-stelligen Hexwert zu erzeugen, den Du als Anti-Rate-Salz an den Dateinamen anfügst.

Das schützt Dich nicht gegen das Abgreifen der URL durch Log-Schnüffler oder so - aber dafür hatte ich ja schon den Vorschlag mit dem Form gemacht.

Rolf