'ǝɯɐu$ ıɥ

Jetzt habe ich (eher durch Zufall) festgestellt, dass ich das Prinzip von htaccess nicht so ganz verstanden hatte.

yep :-)

dann lässt sich die Datei auch ohne Passwort und Username downloaden ...

klar

Jetzt habe ich nach einer Möglichkeit gesucht, derartige Downloads über die htaccess Datei (oder die php.ini) in "privat" zu verbieten. Dabei soll php-Schripa die sich im Ordner "privat" befinden alles erlaubt sein, wenn sie aber von außen kommen soll kein Script-Zugriff möglich sein ...

da ist dein denkfehler: der zugriff kommt ja nicht von "außen" sondern über das filesystem der kiste - ein "echter" zugriff von außen (über http) ist nicht ohne authentifizierung möglich.
http://de.selfhtml.org/servercgi/server/htaccess.htm#verzeichnisschutz
es ist aber besser die scripte außerhalb der document root abzulegen...

ssnɹƃ
ʍopɐɥs