残念ながら .htaccess を読み取り不可にしたら、実行ユーザーからも読めないので動作しません(httpd のエラーになる)。

OS の権限と連動したユーザーを払い出す実装など昔作ったことはあるのですが、処理系依存が激しく設定や権限管理がとても面倒なのです。システムを複雑にすると、ちょっとしたミスや更新で動かなくなります。
硬い権限管理をしないのは、管理コストを上げないための割り切りなのです。

先に述べた通り、意図的に攻撃する気があればいくらでも手はあります。
直接の操作では出来ないようにしていますが、間接的な手段は塞いでいません。
遊び場を維持したいのであれば、紳士協定として他者の領域に踏み込むことはしないようお願いします。
--
安冨 伸浩 (マイサイト管理人)