Tach!

Es gibt Apache Direktiven, die das Lesen von Dateien verhindern. Zum Beispiel:

<Files ~ "\.htpasswd$">
    Order allow,deny
    Deny from all
</Files>

Das ist nicht ideal, und ich bin, wie gesagt, nicht der Experte.

In der Default-Konfiguration des Apachen ist bereits seit langer Zeit ein ebensolcher Ausschluss für .ht* definiert.

Abgesehen davon könnte man mal bei Ionos schauen, ob die nicht bereits für die Standardaufgabe Paswortschutz etwas in ihre Konfigurationsoberfläche eingebaut haben. Damit sollten die kritischen Dateien auch außerhalb des Documentroot angelegt werden.

Außerdem gibt es auch im Hilfecenter was zu finden, wie die Pfade aussehen müssen, wenn man einen Verzeichnisschutz mittels .htaccess und SSH einrichtet.

Kann man ein solches Deny austricksen?

Wenn das seitens eines Browsers gehen sollte, solltest du bei Apache einen Bugreport öffnen.

dedlfix.