Also übergeordnet wäre dann ja nur noch die httpd.conf

Nein. Übergeordnet ist die DocumentRoot, also /

Und die Direktive dazu steht in der httpd.conf und NICHT in einer /.htaccess -Datei

Wenn das Script eine Redirektion durchführen würde, käme doch erst der Apache wieder ins Spiel.

Wenn der redirect auf einen nderen Server führt, muß dort ja nicht zwingend auch der Apache vorausgesetzt werden.

Momentmal Apache bommt eine Anforderung den Script auszuführen kann er nicht wenn es perlist und kein MOD installiert. Also ruft er den Perl-interpreter auf. Von dem bekommt er zuerst die Redirektion oder einen anderen Output zurück über den STDOUT.
Was macht der Apache dann mit der Redirektion gibt er die an den Client weiter oder versucht er die neue Anforderung direkt an einen anderen Server weiterzugeben (Vorausgesetzt in der URI ist nicht der eigene Server gemeint)

Wenn ich richtig liege, sollen die untergeordneten Verzeichnisse vor Zugriffen von Außen geschützt werden und sollen dennoch in der documentroot hängen
Da geht was durcheinander. "untergeordnete Verzeichnisse" hängen immer unterhalb der DocumentRoot, sofern sie denn über HTTP angesprochen werden sollen.

Ok, präziser ausdrücken ist bei dir angesagt ich weis.
Das Original hat die Daten in Unterordnern des Ordners indem auch der Script läuft.
Die Daten die in diesen Ordnern sind könnten doch auch außerhalb der documentroot in Ordner (aller Wahrscheinlichkeit nach sind das auch Unterordner, denn sie werden ja wohl kaum als Top-Level-Ordner angelegt sein) gelegt werden und brauchen, weil dort ja kein Zugriff von Außen möglich ist nicht mit ".htaccess" "geschützt" werden.

Besser?

Es gibt in der Apache-Doku ausdrücklich die Empfehlung, Dateien mit Benutzerinformationen (AuthUserFile) _außerhalb_ der DocumentRoot anzulegen. /dev/null liegt zwar außerhalb, ist aber unsinnig.

:-)

So aber werden die Daten ja geschützt
Nein. Sie sind gar nicht erst vorhanden, da nach ihnen in /dev/null gesucht wird. Das meinte ich mit Verarschung.

Ich spreche hier von Daten nicht von Authentifizierungs-Daten ok  :-) und die werden geschützt, weil sie nicht mehr innerhalb der documentroot liegen. Ganz nach dem Vorbild der Authentifizierungsdaten.

Apache hat in diesem Fall mit Authentifizierung des Logins nichts zu tun, sondern mit der Anfangs geposteten .htaccess werden nur Daten geschützt vor sämtlichen Zugriff von Außen anscheinend aber nicht vor dem Script selbst, der benutzt die nämlich. :-)

Trotzdem dir und vor allem auch @wahsaga danke, das ihr Spiegel für meine Gedanken wart.
Ich glaube ich weis jetzt, warum und wieso, und es gefällt mir nicht sonderlich.
Vielleicht gelingt es mir die Sourcen so umzustricken, das sie ihre Daten von außerhalb der documentroot beziehen und ablegen. Das spart dann auch den Performance-Verlust wieder ein.

Joe