Sto configurando una directory su un server Apache protetto con mod_authn_file. I documenti per AuthUserFile dicono di non inserire il file .htpasswd nella directory protetta:
Make sure that the AuthUserFile is stored outside the document tree of the web-server. Do not put it in the directory that it protects. Otherwise, clients may be able to download the AuthUserFile.
Non mi è chiaro esattamente cosa significhi. Solo gli utenti autorizzati possono essere in grado di scaricarlo o c'è il rischio che anche altri possano avere accesso?
La directory che sto proteggendo avrà sempre un solo utente autorizzato. Conosce già il nome utente e la password. C'è qualche ragione per non mantenere il file .htpasswd nella directory protetta proprio accanto a .htaccess?