es gibt ja auch möglichkeiten beim z.B. beim Download nicht den Dateinamen direkt anzugeben, sondern das über ein Script zu leiten, so ist es auch möglich den original Dateinamen zu verbergen, so das sie sich sogar in einem ungeschützten Bereich liegen kann (da ja "keiner" den Namen kennt)

z.B. http://FNSE.de/S.php?0A1

man könnte ja auch noch in dem Script einiges prüfen
(z.B. über die Kekse, oder den Referer, oder ähnliches, ob der Zugriff überhaupt erlaubt ist)