Hallo MudGuard,

tja, ich werde wohl wirklich langsam senil. Ich will was schreiben, lese es später und da steht dann was ganz anderes, als ich gedacht habe. Natürlich muss man nicht für den Browserzugriff sorgen, sondern ihn verhindern. Ich habe das editiert.

Also nochmal: Ja, die .htpasswd gehört nicht ins Web. Sie gehört außerhalb davon. Das habe ich beschrieben, am Beispiel meines eigenen Webspace bei one.com, wo es den httpd.private Ordner gibt.

Es gibt aber mutmaßlich Webangebote, wo das nicht geht. Weil der einzige zugängliche Platz auf dem Server innerhalb des Webs liegt. In dem Fall, und nur in diesem Fall, muss man sich mit der zweitbesten Lösung behelfen. Es gibt Apache Direktiven, die das Lesen von Dateien verhindern. Zum Beispiel:

<Files ~ "\.htpasswd$">
    Order allow,deny
    Deny from all
</Files>

Das ist nicht ideal, und ich bin, wie gesagt, nicht der Experte. Kann man ein solches Deny austricksen?

Rolf