Se ho un sito web accessibile solo tramite autenticazione in una pagina di accesso, è possibile che una persona non autenticata abbia accesso alle risorse statiche (immagini, css, javascript, ...)?
Immagino che l'unico modo in cui potrebbero farlo sarebbe quello di forzare gli URL in qualche modo o in qualche modo sapere dove si trovano già le risorse sul server, ma non ne sono sicuro.
Dipende dalla configurazione del server. Se si configura il sito in modo che l'utente possa autenticarsi con il server stesso, è possibile fare in modo che il server utilizzi le autorizzazioni degli utenti e sarà solo in grado di accedere alle risorse a cui l'utente ha accesso e sarà possibile negarle agli utenti non autenticati .
Se l'autenticazione è invece un'autenticazione a livello di sessione implementata in un linguaggio di scripting come PHP o simile, il server non saprà se le risorse dovrebbero essere fornite e spetterà ai tuoi script decidere cosa servire . Se le risorse statiche sono protette solo dall'URL che è sconosciuto, è comunque possibile accedervi con quest'ultimo approccio.
Leggi altre domande sui tag authentication webserver protection