Hola:

Lo habitual es ocultar el fichero de conexión para que los usuarios no tengan acceso al usuario y password de la base de datos. Ocultar los hbm.xml no es en principio tan importante, salvo que pueden dar información de cómo están construidas las tablas de la base de datos.

Mover el fichero de tu proyecto a otra ubicación NO OCULTA el fichero, sólo lo cambia de sitio donde está.

Dejar los ficheros dentro del jar es más seguro. Cualquiera con un poco de conocimiento de lo que es un jar puede acceder a ello, pero ya descartas a un montón de usuarios que no saben nada de java y que quizás nunca se les ocurra abrir un fichero jar con un winzip o winrar.

De todas formas, dices que la aplicación es web, así que imagino que toda la conexión a base de datos con hibernate está en el lado del servidor, por lo que dejar el fichero dentro de un jar (o incluso fuera) y dar los permisos adecuados de acceso en el servidor debería ser más que suficiente.

Se bueno.