se ho capito bene nel file .htaccess si puo impedire l'accesso a delel cartelline impostando una password, ma poi il file potrebbe essere scaricato e la password trovata?

Ad ogni modo queste cartelle riservate poi possono contenere script pagine web ecc accessibili via web?

C'e' un metodo equivalente per windows server 2003?