Hi,

Meine Vermutung wäre ja gewesen das nicht auf die Dateien zugegriffen wird, weil sie im geschützten Bereich liegen,

Natürlich. Andernfalls wäre der "Schutz" ja witzlos.

(Und es wird natürlich nicht auf "Dateien" zugegriffen, sondern auf Ressourcen. Und wenn HTTP Auth bei fehlenden/falschen Credentials *das* nicht verhindern soll - ja was denn dann ...?)

aber das kann ja nicht sein (das Menu wird ja auch eingebunden)

Du schriebst, dass du das Menü per readfile einbindest, also über das Dateisystem des Servers, auf dem Server.
Ist da irgend jemand im Spiel, der sich für HTTP Auth auch nur einen feuchten Furz interessieren könnte? Natürlich nicht, es ist ja nicht mal HTTP im Spiel.

MfG ChrisB