Hallo Wolfgang,

»» Ich weiß nicht, wie dein Login-System arbeitet [...]
Mein Login-System orientiert sich größtenteils an diesem Tutorial:
http://www.yubb.de/artikel523.html

oh, verstehe. Das beschränkt also nur den Zugriff auf PHP-Scripte, und auch nur auf die, die das ausdrücklich so "wollen". Das ist natürlich nicht schön.

Über den Browser kann man die einzelnen Ordner nicht anschauen, wenn man nicht eingeloggt ist.
Kennt man allerdings den genauen Pfad z.B. zu "intern/dataintern/file.zip", dann kann man diese auch ohne Login downloaden.

Ja, das ergibt sich zwangsläufig aus der beschriebenen Konstruktion.

Genau das wollte ich mit einer htaccess (die noch nicht existiert) unterbinden, dass man die Datei nur Downloaden kann, wenn man sie bereits aus dem Verzeichnis "intern" aufruft.

Dann ist es wohl die einfachste (und auch die sauberste) Methode, den Zugang komplett auf HTTP-AUTH umzustellen und das bisherige Login-System, das IMHO mehr Schein als Sein ist, zu entsorgen.
Einziger Schönheitsfehler: Zur Eingabe der Zugangsdaten poppt eben der browsereigene User/Passwort-Dialog auf und nicht ein selbst gestyltes Formular. Das halte ich aber für akzeptabel.

Eine Alternative wäre, die Dateien in ein Verzeichnis zu legen, das per HTTP nicht zugänglich ist (außerhalb des Domain Root oder mit Deny From All zugemacht), und den Download ebenfalls über ein PHP-Script zu regeln. Die Downloads hätten dann halt URLs wie etwa /download.php?file=foo.zip oder ähnlich.

So long,
 Martin