mmmm, es interesante lo del concepto de la API, el problema es que, como decis vos pateketrueke, siempre se envía algo para validar la identidad de un usuario.

El problema es que si hace un validacion por IP o por navegador o por cualquier dato que vaya en la cabezera del paquete de informacion, estos son modificables. Siguen siendo completamente vulnerables a una lectura por parte de un tercero y la posterior modificacion.

Si al menos hubiese una forma de encriptar el archivo enviado y los datos, como el HASH o la Clave, todo en uno en un gran paquete de información.

La idea seria lograr la seguridad que brinda una conexion SSL, pero sin tenerla (por que no podemos obligar al cliente, jeje)

Por ahora la más consistente es la de utilizar cURL, ya que con FTP no podemos (me olvide de ponerlo en las restricciones, perdon :-p) puesto que no tenemos acceso a los mismos ni lo tendremos, asi que esta descartado.

De todas formas, es interesante que propongan ideas, no es un problema muy comun este, por lo que hay que revisarlo bien y pueden surgir cosas interesantes .