Hallo Stefan

Den Artikel unter http://www.teamone.de/selfaktuell/ , welcher sehr gut ist, kenne ich schon, aber die endgültige "Sicherheitserklärung" geht davon ja leider nicht heraus.

htaccess arbeitet, wie der Name schon andeutet, auf HTTP-Ebene und betrifft Verzeichnisse. Das heisst, ein Browser erhaelt vom Webserver erst dann Dateien aus einem mit htaccess geschuetzten Verzeichnis, wenn er die Daten fuer Kennwort und Passwort liefern kann, die er denn auch vom aufrufenden Anwender wissen will.
Mit JavaScript und allem, was sonst noch direkt ueber HTTP uebertragen wird, laesst sich so ein Schutz nicht umgehen.
Anders ist es, sobald ein anderes Protokoll als HTTP benutzt wird. Das merkst Du schon daran, dass Du mit FTP ohne Probleme in Deine eigenen, passwortgeschuetzten Verzeichnisse reinkommst. Genauso ist es mit Telnet usw. Nun sind FTP- und Telnet-Zugaenge normalerweise ebenfalls passwortgeschuetzt. Es sind eben die Kenndaten, die Du von Deinem Provider bekommst, um auf Deinen Webspace zugreifen zu koennen.
Sobald es bei einem dieser High-Level-Protokolle eine Sicherheitsluecke gibt oder der Server noch andere High-Level-Protokolle unterstuetzt, die Hacker benutzen koennten (IRC, oder irgendwas Selbstgebasteltes fuer spezielle Zwecke), dann ist eben ein Zugriff auf Daten auf solchen Wegen denkbar, und da hilft htaccess dann wenig. Aber wie gesagt, solange nur der WWW-Browser auf solche Daten zugreifen will und als URL eine http-Adresse dazu benutzt, wird htaccess sicher sein, und besser als alle anderen Loesungen mit JavaScript oder Java oder eigenen Perl-Scripts (da er als einziger auch die neuerliche Ausweisung von Leuten verlangt, die die "geheimen" URLs bereits kennen und versuchen, diese direkt aufzurufen).

viele Gruesse
  Stefan Muenz