Hello,

Er spielt nämlich erst bei der Weiterverarbeitung eine Rolle. Z.B. wenn die Datei zum Download angeboten wird.

... erst, wenn die Datei in den Focus des ausführenden Systems gerät. Das muss nicht unbedingt durch einen Request des Clients geschehen.

Ist das wirklich (immer) so?

Nein, definitiv nicht!
Ein simples Beispiel ist die ".htaccess"-Datei. Die muss/kann nicht explizit durch einen gezielten qualifizierten Request angesprochen werden, sondern würde dies auch implizit durch irgendeinen (http/s-)Request auf den Verzeichnisbaum, dem sie vorsteht.

Und ja! Ohne besondere Schutzmaßnahmen kann man eine .htaccess-Datei hochladen.

Glück Auf
Tom vom Berg