Moin!

Wie kann ich bei einem .htaccess geschützen Verzeichnis verhindern, dass man per http://username:password@domain.com direkt in das Verzeichnis kommt?

Gar nicht, weil aus der Sicht des Servers beide Requests gleich aussehen. Ob der Besucher also Benutzername und Passwort direkt in die Adresszeile seines Browsers eingibt (sofen der das unterstützt), oder das HTTP-AUTH-Eingabefenster ausfüllt oder einen Passwortmanager benutzt, kannst du nicht feststelln - somit auch nicht eine der Möglichkeiten verhindern.

Es soll immer das Eingabefeld für username und password erscheinen und diesen Direktlink verbieten.

Nein, diesen Zwang sieht HTTP-AUTH nicht vor. Diese Eingabemaske soll nur dann erscheinen, wenn eine Ressource mit dem Statuscode 401 ausgeliefert wird, weil die Zugangsdaten beim vorherigen Request falsch waren oder gefehlt haben.

Und nein, jede Ressource mit einem 401 ausliefern ist auch keine Lösung, weil dann der Eingabedialog endlos wieder aufpoppen würde.

So long,
 Martin