Ich habe heute von einem Arbeitskollegen gehört, dass man seine .htpasswd files am besten nicht im Document-Root rumliegen lässt, sondern außerhalb lagert.
Seiner ansicht nach ist die Datei nämlich von aussen lesbar. Nachdem ich jetzt mal im Internet verschiedene Tutorials zu dem Thema durchgelesen habe, ist mir aufgefallen, dass dies dort teilweise ebenso erwähnt wird.
Ich bin bisher davon ausgegangen, dass sich mein Webserver (Apache) darum kümmert, dass diese Files nicht aufrufbar sind.
(laut meinen Tests sind sie das auch nicht.. sowohl .htacess, als auch .htpasswd)
Auch im Internet finde nichts funktionierendes, um diese Files abzurufen.
Bezieht sich die Aussage auf einen theoretischen Fall (Sicherheitslücke, vielleicht ein Specialchar im Requestpath) oder ist es ein echtes Sicherheitsrisiko?