Creo que a lo que se refiere, es que cuando baja el archivo el gestor de la descarga le indica el path de donde fue bajado, y que de alguna manera el usuario puede dar esa URL a otra persona y asi podria descargarlo tambien saltandose el login.. yo creo que lo que necesitas es proteger la carpeta con y modificar algunos parametros del .htaccess.. para solo permitirle que invoque a los archivos por medio de otro script y no dela propia url

http://dev.cmsmadesimple.org/frs/sho...release_id=887