そもそも機密データの共有が目的なら公開鯖じゃなくてVPN+非公開鯖にすべきと思
えるが、まあそれはともかく。

 今回もしやるなら >>617 の閲覧制限画像を絞る考え方が基本だろうな。
 大きな画像はドキュメントルート外に置いてプログラムから読む。で、ページには
そこに飛ぶリンクだけサムネイルに貼っとく、みたいな。まあ今回はGD前提じゃない
からテキストリンクになるわけだが。
 ちなみにプログラムから読むときはこう。書くまでも無いかもしれんが。
<?php
//(ここで認証。とおらなきゃリダイレクトで飛ばす)
header("content-Type: image/png");
require("../secretimage/secret.png");
?>