Das man ohne login nicht ins verzeichnis kommt, scheint sicher zu sein. Aber wenn man sich einloggt, werden die Daten wahrscheinlich als Klartext übermittelt, oder? So könnte jeder mit Zugriff auf die Verbindung die Login abfangen und zukünftig missbrauchen. Um dem entgegen zu wirken müsste man selbst als Berechtigter user jeden .htacces login über die SSL Verbindung herstellen.
Ich würde mich freuen, wenn jemand mal etwas dazu sagen könnte.
Grüße