Hallo,

Was spricht gegen das schon erwähnte 'Options +MultiViews' und fertig?

dazu möchte ich, insbesondere bezogen auf das ursprüngliche Ansinnen für Sicherheit zu sorgen, aber anmerken, das hierbei ebenso HTTP-Header generiert werden, die für Angreifer ebenso auswertbar sind:

Responseheader:

Content-Location: index.php
Vary: negotiate
TCN: choice

Also wird auch hierbeit einem Angreifer ersichtlich, daß PHP genutzt wird. Dies ist nur als Hinweis gedacht, denn dies ließe sich z. B. mit AddHandler/AddType/ForceType relativ einfach ändern.

Gruß aus Berlin!
eddi