Форум PHP

Уважающий себя хостер в первую очередь не допустит уход клиентской базы ни в открытом, ни в закрытом виде. Злоумышленика не остановит хэш. А вот клиенты могут потребовать восстановить пароль (тут правда можно генерировать пароль по-новой), да и на мир глазами клиента (воспроизвести ситуацию) посмотреть службе тех.поддержки не мешает, а как она это сделает без пароля? Можно держать пароли вне хостинга, но тогда нужно урезать функциональность панелей (да и не всегда это удобно) - тут каждый сам выбирает, что важнее - функциональность или лишний барьер в безопасности. Оптимизация безопасности - это как оптимизация кода, можно долго и упорно увеличивать безопасность одного из компонентов, в то время как узкое место находится в другом месте.

Есть хостеры у которых апач запускается от имени пользователя тогда можно просто поставить правильные права и всё будет работать

Уважающий себя хостер так делать не будет.
Для этого ему нужно знать и хранить пароли клиентов в открытом виде.

Я еще понимаю, коннект от имени какого-нибудь специального логина, которому разрешено sudo команды, 100 сто раз проверяющейся перед тем как отрезать. Пусть даже через FTP.

Проявите изобретательность :))) У хостера полный список FTP-аккаунтов, он просто коннектится при помощи FTP-функций к клиентскому FTP и делает там всё, что ему угодно от имени пользователя.

>Да, конечно, например, именно так все хостеры реализуют панели защиты директорий паролем.

Чего?
С помощью php-скрипта, выполняющегося от имени apache/nobody ?!
Имейте совесть так шутить.

Да, конечно, например, именно так все хостеры реализуют панели защиты директорий паролем.

.

я правильно понял, что и .htpasswd (непомню как точно) можно тоже динамически обновлять?

Да, с конфигурационным файлом .htaccess можно работать как с обычным текстовым файлом.

Изменение файла .htaccess с помощью скрипта.
Возможно ли это?