hi,

Wo ich mir jetzt nicht sicher bin: Ist es denn hinzubekommen, dass serverseitige Anfragen aus einer Session heraus bei entsprechendem Aufruf (was auch immer man da wohin übergeben könnte... :) ) anders behandelt werden als clientseitige?

Das ist per Default so - weil der Client über HTTP zugreift, dort wirkt HTTP Auth. Der Server kann über's Dateisystem zugreifen, da ist nix mit HTTP.

Ich fänd es eben optimal, wenn ich innerhalb des sessionbasierten Kundenbereichs nicht für jeden Download nochmal ein Passwort angeben müsste, sondern nur dann, wenn der Aufruf vom Client außerhalb einer Session erfolgt. Lässt sich .htaccess irgendwie mit Sessions kombinieren?

Nein, kaum.
Wenn mod_auth_cookie keine denkbare Alternative darstellt, dann müsstest du dir ein Script schreiben, welches die Datein (nach Prüfung der Authentifizierung) von Platte einliest, und nach entsprechenden HTTP-Headern (Content-Type) an den Client durchschleust. (Kein neues Thema, dazu solltest du auch im Archiv fündig werden können.)

gruß,
wahsaga