hallo

Um Dateien vor direktem http-Zugriff zu schützen, empfiehlt es sich, solche Daten ausserhalb von http-root anzulegen.

Rechtlich gesehen darf man einen durch einen Zugriffsschutz dem üblichen öffentlichen Server nicht als öffentlichen Server bezeichnen. Da hast du eigentlich kaum mit Problemen zu rechnen. Denn der Zugriff muss ja in einem solchen Fall erst mal beworben sein, zum Beispiel durch einen öffentlich zugänglichen Link auf eine solche Ressource.

Ein gehackter Server kann ebenfalls nicht als öffentlicher Server bezeichnet werden. Im Gegenteil kann man gegen solche Zugriffe Starfverfolgung einleiten.

Unabhängig davon ist https sowieso unbedingt zu empfehlen.