Hi,

Im Interesse der Sicherheit ist es auch besser, die
Datei mit den Benutzern und Passwörtern außerhalb
des Web-Projekts auf dem Server abzulegen.

Denn außerhalb des URL-Raums ist diese Datei nicht nur praktisch, sondern auch theoretisch unsichtbar gegenüber Zugriffen via HTTP.

Aber nicht bei allen Hosting-Angeboten können Sie
auf den Server-Rechner außerhalb des eigenen Web-
Projekts zugreifen.

Sollte man eigentlich meinen, daß dies nicht der Fall sei. Mein access_log möchte ich ja auch nicht via HTTP zugänglich machen (einerseits stehen da gelogte IP-Adressen drin, andererseits ist es zu groß dafür ;-).

Heisst das, daß ich die Datei .htpasswd nicht in
dem geschützten Bereich ablegen soll,

Ganze bestimmt dort am allerwenigsten! Das ist der Bereich, in dem jemand, der nach geheimen Informationen sucht, zuerst nachsieht - denn Du hast ihm ja durch den Schutz gezeigt "hier ist etwas verborgen". Nun laß den Webserver durch einen Fingerfehler ("AllowOverride None" oder was auch immer) Deinen Schutz abschalten ...

wenn ja, warum soll das im Interresse der Sicherheit
sein, wenn die Passwortdatei "offen" auf meinem
Webspace liegt ?

Nicht 'in' Deinem Webspace - sondern 'daneben'!

Viele Grüße
      Michael