Pos si siempre sera un solo user y pass puedes hacer todo el proceso de autenticacion dentro del Flash para hacerlo simple (aunque no seguro) y hacer que mande a la URL con el contenido solo cuando el user y pass sean correcto, caso contrario mostrar un mensaje de error.

Independientemente de como este configurado el server web para mostrar las carpetas de forma predeterminada, puedes usar un archivo .htaccess para configurar solo la carpeta que deseas para que al poner la URL y acceder se muestreel contenido de esa carpeta en forma de una pagina HTML comun y silvestre, las carpetas que estan dentro seran un enlace para mostrar los archivos que tengan dentro y los archivos seran un enlaces para descarga y/o apertura.

En cuanto a los BUGs de seguridad, basicamente hay 2 en ese modelo:

1.- Cualquiera que sepa la URL exacta podra accesar directamente al contenido con solo poner la URL directamente en el navegador, puedes complicar el saber esa URL agregando nombres complicados y largos de forma que sea muy dificil de hayar por tecnica de fuerza bruta o tanteo.

2.- Si todo el proceso de autenticacion esta dentro del archivo Flash incluyendo el User y Pass correctos para accesar entonces podria ser vulnerado con relativa facilidad tu sistema, puedes poner el proceso de autenticacion dentro pero lo mas recomendable es que ese proceso simplemente tome el user y pass de entrada y lo contraste con algun medio de almacenamiento externo como una DB (Base de Datos). Si incluyes los datos a contrastar dentro del mismo Flash cualquiera que baje el SWF y luego le aplique ingenieria inversa (llamese decompilacion) podria saber con facilidad el user y pass correctos. [Esto no quiere decir que el modelo de contrate con una DB sea 100% segura, eso dependera tambien de como se haga el proceso y tambien si se usan metodos de cifrado de la informacion que se envia y tambien cifrado para los datos guardados, pero al menos lo complica mucho mas ^^]

Si lo que guardas no es algo muy importante, puedes usar algo simple, pero si son datos criticos entonces lo mejor es contratar a un experto en eso. El grado de seguridad dependera de que tan importante sea mantener esos datos confidenciales.

Salu2...
Squadron