¿Debería obtenerse el acceso al servidor en cuestión o puede un archivo .htaccess filtrar la información de alguna manera?
¿Se debería obtener acceso al servidor en cuestión?
Para leer el archivo .htaccess , sí, asumiendo que el servidor está configurado correctamente, todo lo demás que se ejecuta en el servidor es seguro. La mayoría de las instalaciones de apache predeterminadas tienen una regla de que los archivos que comienzan con .ht no se servirán de forma estática. Todavía podría ser servido por una aplicación con errores en el servidor, como un script PHP que pasa la entrada del usuario directamente a file_get_contents.
¿Puede un archivo .htaccess filtrar información de alguna manera?
Sí, puede filtrar todo lo que contiene. La información básica como la ruta a su raíz web se puede encontrar en ella. Tal vez un redireccionamiento abierto podría ser descubierto. Algunas aplicaciones tienen un conjunto de archivos .htaccess variables de entorno que contienen credenciales de base de datos. Sin embargo, en realidad, si alguien puede obtener acceso a su archivo .htaccess , es probable que tenga más problemas.
Esto es específico de la configuración. De forma predeterminada, Apache está configurado para evitar que los archivos que comienzan con ".ht" se sirvan a través del servidor web. Esto no protegería ningún archivo que se sirva, por ejemplo, por otro servidor web, o que se encuentre a través del acceso FTP. Otro software de servidor web no siempre utiliza archivos .htaccess, por lo que puede exponer sus contenidos, pero en ese caso, los contenidos no estarán en uso activo.
Si los archivos .htaccess están expuestos, esto puede revelar detalles sobre las ubicaciones de registro, los archivos de contraseña, las variables de entorno y casi cualquier otra cosa que pueda estar en un archivo de configuración Apache de todo el sistema.
No está del todo claro a qué te refieres aquí.
Un archivo .htaccess es en esencia, solo un archivo de configuración en el servidor. Suponiendo que el servidor esté razonablemente bien configurado y reforzado, por lo que ningún usuario no autorizado puede acceder al archivo, no debería filtrar ninguna información, ya que solo será utilizado por el servidor, e interna e invisiblemente desde el exterior.
Dicho esto, puede haber advertencias: si, por ejemplo, desea utilizar el archivo .htaccess para limitar el acceso a un directorio configurando una contraseña, eso estará más abierto a un ataque de fuerza bruta que otras opciones de inicio de sesión que contengan más lógica, por ejemplo para permitir solo una pequeña cantidad de intentos antes de mostrar un CAPTCHA, o bloquear la cuenta, etc.
Lea otras preguntas en las etiquetas web-application