Да лан, че спорить, мяч на стороне разработчиков.

да, хотелось бы чтобы все было по возможности закрыто/приватно уже в "коробочной" версии т.к. кеш/дамп-логи результатов запросов могут содержать приватные данные вроде ключа к API службы доставки и т.д.

он видимо устарел

Самые важные строчки там

if (!-e $request_filename) {
        rewrite ^(.*)$ /index.php last;
}

чтобы sef-url работало.
Остальное всё... конфиг неполный, а так, каждый под себя по-любому настраивать будет. В этом и фишка nginx, что разом в одном конфиге настраивается всё, касаемо конкретного сайта. А в апаче размазано - одно тут, другое там.
Я вообще люблю со всех директорий, куда не положено(403), редиректить на главную. И после 404 на главную. Нравится мне так.

Да лан, че спорить, мяч на стороне разработчиков.

Раскидывать же htaccess по директориям - за это по рукам били ещё лет так 15 назад. Потому что потом не знаешь, где что и откуда.

Я предложил данный вариант т.к. он используется в RS  (RS\File\Tools::makePrivateDir и RS\Helper\Log).

если речь о https://readyscript.ru/faq/#faq-rewrite то, он видимо устарел т.к. не соотносится с .htaccess

у кеш файлов нет расширений, да и про логи забыли

Да я про общий принцип написал, что наследуется с того, что в корне. Не принципиально, какие файлы, какие директории - это пусть разработчики решают.
Раскидывать же htaccess по директориям - за это по рукам били ещё лет так 15 назад. Потому что потом не знаешь, где что и откуда.

и про nginx - для него конфиг в факе есть, и конфиг очень даже махонький.

добавьте сюда .tmp

у кеш файлов нет расширений, да и про логи забыли

как я уже писал, главное прикрыть доступ, конечная реализация для меня роли не играет

IIS тоже может быть и что дальше? Давайте не будет мешать все в одну кучу - когда разработчики RS решать добавить конфиги для этих серверов тогда и обсудим.

И ВСЁ!

Не надо никаких htaccess внутри вложенных каталогов.
БезопасТность следует реализовать на уровне разработчиков, т.е. предлагать в стоке уже прокачанный htaccess и нехай он в корне у всех новых ридискриптов лежит, в чём тут проблема-то?

***

Айн момент, сэр - поверюзеры апач не юзают. Вообще. Нафиг он нужен-то в эпоху vps за два бакса и nginx?
То есть, любая фича подобного рода, включаемая в админке, на nginx работать не будет - ибо прав www не хватит писать в рутовые файлики.

Может, я что-то не знаю, так расскажите.

Ну а как вы предлагаете добавлять эти файлы .htaccess через интерфейс RS?

зачем добавлять их через интерфейс RS? Особых изысков не требуется: если опция активна создаем в cache и logs .htaccess файлы блокирующие доступ к логам и системному кешу, нет - удаляем/переименовываем .htaccess.

"/cache/engine/.htaccess", "/logs/.htaccess" содержащие "Deny from all".

Потому, что полноценного файлового менеджера у нас внутри нет. Он действует только в рамках шаблонов.

А какая между ними связь?

Всю папку /cache/ нельзя закрывать, так как в ней еще находятся сжатые css и js (при включении соответствующей опции).

А вот папку cache/engine - закрыть нужно.
Можно добавить в корневой .htaccess строку:

RewriteRule ^cache/engine/ - [R=403,NC,L]

почему не реализовать это на уровне CMS? хотя бы опционально.

А вот папку cache/engine - закрыть нужно.
Можно добавить в корневой .htaccess строку:

RewriteRule ^cache/engine/ - [R=403,NC,L]

Ваши предложения?

озвучено в первом посте

В стандартном htaccess в корне.
#Запрещаем открывать файлы напрямую
<Files ~ "(\.inc\.php|\.tpl|\.tpl\.php|\.auto\.php|\.auto\.xml)$">
    Order allow,deny
    Deny from all
</Files>

святая наивность