(questo dovrebbe essere un commento ma è un po 'lungo)
Can someone view the contents of my .htaccess file
Non possiamo dirlo, dipende da come è configurato il tuo sito web. Inoltre, non specifichi cosa intendi per "chiunque": se questo è in esecuzione su un host web condiviso con altri utenti, potrebbero avere anche accesso. Su un sistema Unix l'account di root avrà accesso ....
they encounter a 403 forbidden
Poi c'è qualcosa che impedisce alle persone di accedere al file tramite il server web. Le possibili protezioni che potrebbero essere in posizione sono ...
-
posizione: il server web servirà solo il contenuto degli alberi di directory configurati in modo esplicito. Nel tuo esempio, il file sembra essere nella stessa posizione del codice. Tralasciando una discussione sul perché questa sia una pessima idea, allora se ciò è rilevante dipende dal fatto che stiate eseguendo mod_php o php_fpm, e se lo script che contiene lo snippet di codice sia un punto di ingresso per l'esecuzione di PHP o sia incluso da un altro script .
-
permessi del filesystem - con php-fpm è abbastanza probabile che PHP funzioni come un uid diverso da quello del server web
-
configurazione specifica nel tuo server web - la maggior parte fornisce un mezzo per escludere l'accesso in base all'URL o al nome del file (e spesso consente i glob). Le configurazioni di Apache di solito hanno la configurazione sotto la quale impedisce l'accesso a un file il cui nome inizia con '.ht', ma che non è applicabile a "passwords.htaccess".
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>
(e questo è prima che consideriamo eventuali vulnerabilità nel sito / piattaforma)
Quindi, a parte i tuoi risultati empirici, non abbiamo basi per essere in grado di rispondere alla tua domanda. Possiamo dire che il metodo di protezione che hai in atto non sembra essere in alcun modo portatile.