Estoy configurando un directorio en un servidor Apache protegido con mod_authn_file. Los documentos para AuthUserFile dicen no colocar el archivo .htpasswd en el directorio protegido:
Asegúrese de que AuthUserFile esté almacenado fuera del árbol de documentos del servidor web. No lo pongas en el directorio que protege. De lo contrario, los clientes pueden descargar el AuthUserFile.
No me queda claro exactamente lo que esto significa. ¿Solo los usuarios autorizados pueden descargarlo o existe el riesgo de que otros usuarios también tengan acceso?
El directorio que estoy protegiendo solo tendrá un usuario autorizado. Él ya sabe su nombre de usuario y contraseña. ¿Hay alguna razón para no mantener el archivo .htpasswd en el directorio protegido justo al lado de .htaccess?