Drupal 6 schwächelt leider etwas, was das Dateisystem anbelangt. Auch in Drupal 7 sind diesbezüglich noch viele Kritikpunkte offen, jedoch wurde ein Kernproblem gelöst: private (vom Webserver ausgelieferte) Downloads und öffentliche (Direktzugriff ohne Webservereingriff auf Datei) Downloads sind hier getrennt.
Ein Problem bei der Festlegung der Downloadmethoden ist zudem, dass eine einmal getroffene Entscheidung (nach Hinweis) für oder gegen die Sicherheit der Downloads nur problembehaftet wieder nachträglich geändert werden kann.
Zum Glück gibt es einige Wege diesen Problemen (auch im Nachhinein) aus dem Weg zu gehen, wenn auch teilweise mit einigen Wehmutstropfen.
Anlass genug meine Recherchen einmal zu sammeln und euch zur Verfügung zu stellen.
Ergänzungen via Kommentare sowie Erfahrungen erwünscht.
Quellen:
http://www.drupalcoder.com/blog/mixing-private-and-public-downloads-in-…
http://www.onyxbits.de/content/drupal-and-problem-protecting-uploaded-f…
http://drupal.org/project/private_download
