Hallo TS,

Das ist ein hierarchischer Verzeichnisschutz. Das bedeutet, dass ab dem Verzeichnis, das geschützt wird, alle Verzeichnisse, die weiter von der DocumentRoot entfernt sind, ebenfalls geschützt sind.

Jain. Ja, Sub-Verzeichnisse erben den AuthType, aber man kann das auch überschreiben. Beispiel (Apache >= 2.4): /foo enthält .htaccess mit require valid-user. Dann kannst du in /foo/bar eine .htaccess-Datei mit dem Inhalt require all granted anlegen (natürlich geht das auch direkt mit <Directory> oder ähnlichen Direktiven in der Server-Konfiguration) und so den Passwort-Schutz deaktivieren. Siehe auch die Doku.

Freundliche Grüße,
Christian Kruse