ich habe eine hauptseite die alle möglichen files included. jetzt will ich eine datei aus html/secure/index.php includen (haupfile ist html/index.php). eigentlich müsste ja die passwort abfrage kommen.

Nein. Für die Daten der Webserverkonfiguration (dazu gehört die .htaccess) interessiert sich nur der Webserver. Was PHP auf Dateisystemebene veranstaltet, hat damit überhaupt nichts zu tun. Dazu kommt, daß die Authentifizierung per .htaccess über das HTTP-Protokoll zwische Webserver und Browser läuft, das HTTP-Protokoll auf Dateisystemebene aber nicht im Einsatz ist.

Meiner Meinung nach hast Du Deine Seiten falsch aufgebaut. Um ein Dokument anzusprechen, wird die URL benutzt. Du solltest dieses Prinzip nicht aushebeln und auf das altbewährte und selbst Einsteigern geläufige System nicht ein zweites oben draufsetzen, das quasi als Zwangsumleitung über eine index.php geht. Kurz: Sprich Dokumente über ihren tatsächlichen Pfad an, hier "secure/" und nicht "index.php?datei=secure/index.php" (oder was immer Du gerade veranstaltest).
Und bei der Gelegenheit: lass' das index.xxx weg, es ist überflüssig, bedeutet nur Tipperei für den Benutzer und ganz fürchertlich viel Tipperei für Dich, sobald Du das Seitenformat änderst (weil Du sämtliche Verweise auf diese Seite ändern mußt).

Gruß,
  soenk.e