Szóval, nem fejtettem ki részletesen, de:
1. Belép a felhasználó, van joga a fájlhoz
2. Van egy link, ami a fájlt azonosítja (egy rövid url, amit még a programod ellenőriz). Ezt fogod a csoportban terjeszteni mint link.
3. A linkre lépéskor a rendszer generál egy egyszeri URL-t, amelyet IP címhez kötsz, és egyszeri alkalommal teszed elérhetővé (ha pedig nem használják fel a linket, elévül X időn belül). Erre irányítod át a klienst.
3+1. Tehetsz még bele HTTP Auth-ot, amit szintén az átirányításnál adsz át, és egyedileg generálódik egy letöltés erejéig.
Hol van itt a biztonsági rés HTTPS felett? Csak szerver oldalon és kliens oldalon lehet kompromittálni ezt (figyelmen kívül hagyva most a MITM támadásokat).
Ebből a szempontból a POST semmivel sem jobb mint a GET.