Hi + vielen Dank!
Die Video-Dateien außerhalb des DocRoots zu lagern wär natürlich die geschmeidigste Lösung,
aber das haut angeblich beim Hosting-Paket des Kunden (is bei 1&1) nicht hin.

Die Videos selbst sollen geschützt sein, das Script ist per Login geschützt.
Es geht also darum, dass die Filmchen nur über das Script und nicht per URL aufgerufen werden können (z.B: www.foo.de/videos/001.mp4)

Das Script macht im Prinzip das Folgende:
Anzuzeigende Video-Datei wird per GET übergeben (player?v=001)
(User/Passwort, Ablaufdatum, bla.. wird am Anfang in der Klasse abgefackelt, spielt hier keine Rolle)

Dann wird das Ding ganz einfach im HTML5-Player angezeigt:

  
<video>  
    <source src='videos/<?= $_GET["v"] ?>.mp4'    type='video/mp4'>  
    <source src='videos/<?= $_GET["v"] ?>.ogg'    type='video/ogg'>  
    <source src='videos/<?= $_GET["v"] ?>.webm'   type='video/webm'>  
</video>  

@MudGuard
Hmm, ich kapier nich ganz, was du mit "Video-Auslieferungs-Script" meinst.
Wie gesagt, Passwort wird eh schon abgefragt.