Se tutto l'accesso è tramite SSL, allora è ragionevolmente sicuro.
L'autenticazione di base senza SSL invia solo il nome utente / password come codificati base64 - quindi è banale estrarre i token via MITM o sniffare.
L'autenticazione del digest senza SSL è molto migliore (un meccanismo basato su una sfida) ma non altrettanto sicura come una connessione crittografata. Tuttavia ci sono pochi indizi per l'utente che l'autenticazione viene implementata come Digest piuttosto che Basic. Anche le sfide di autenticazione proxy sembrano molto simili.
I meccanismi di autenticazione incorporati non forniscono una buona esperienza utente. Se questo è per un sito con un piccolo gruppo di utenti definito, quindi l'utilizzo dei metodi integrati è una soluzione rapida (ma si potrebbe invece considerare l'autenticazione del certificato lato client). Ma per un sito Web pubblico dovresti pensare a implementare qualcosa di più sofisticato.
Dovresti configurare il tuo webserver in modo appropriato per impedire l'accesso diretto al file htaccess e al database delle password. O mettendo la configurazione al di fuori della radice del documento (ovviamente questo non funzionerà per i file htaccess - ma sono solo un'estensione locale alla configurazione del server web) o bloccando l'accesso ai file. Ogni distribuzione Apache che abbia mai incontrato blocca l'accesso a file con nomi che iniziano con ".ht"
Sebbene sia possibile impedire l'accesso diretto alla password db, non c'è molto spazio per limitare gli attacchi di forza bruta sul server tramite HTTP, un'altra ragione per considerare un approccio basato su moduli.