so fängt der Artikel an ... hat mich irgendwie an robots.txt erinnert.

Ich glaube, davon sind wir ein gutes Stück entfernt...

Ich als PHP-Noob frage mich, warum man das in PHP lösen sollte? Kann der Apache oder auch IIS das nicht handhaben? Warum sollte ich als Super-DAU-Proggi anfangen unsichere Sachen in der Programmiersprache meiner Wahl nachzubilden?

Das Authentifizieren mit htaccess hat den Nachteil, dass man sich nicht wirksam abmelden kann - das Login gilt für die Browsersitzung. Und wenn die wegen eines lang dauernden Downloads offen bleiben muss hat man u.U. ein Sicherheitsproblem. Dafür habe ich Jahren mal was hübsches geschrieben.

Außerdem kann das vorgestellte System ein wenig mehr: Benutzer rauswerfen und blockieren (ohne dass das Passwort verloren geht, eine einfache Möglichkeit etwas wie ACL zu haben, zusätzliche Daten zu den Benutzern speichern, die automatische Vergabe sicherer Passwörter, unterschiedliche Rechte für verschiedene Dateien (PHP) oder Ordner (alle anderen). Außerdem lassen sich in PHP-Skripten auch Aktionen an die Rechte binden (versuche mal als Adm dem Root ein anderes Passwort zu geben...)

Jörg Reinholz