Viel eleganter und ohne die sinnlose Passwort-Abfrage wäre ein "Order deny, allow", "Deny from all". Das ergibt sofort ein 403 Permission Denied. Wahlweise packt man die zu schützenden Dateien in ein Verzeichnis AUSSERHALB des vom Webserver abgedeckten Verzeichnisbaums (was bei manchen Hostern leider nicht geht).

Alexander

Ich habs mal folgendes probiert:
(.htaccess im ordner "geheim")

Order deny, allow
  Deny from all
  Allow from .mydomain.com

Das sperrt aber leider wie bei meinem ersten Versuch über chmod alle Zugriffe.
Das Skript download.php im root Verzeichnis kann aber auch nicht wie erwartet Inhalte aus dem Verzeichnis "geheim" ausgeben. Wo liegt mein Denkfehler?