下記の記事を読みました。
「スクリプトを無効にしても防げない」、新たな「ガンブラー」出現
http://itpro.nikkeibp.co.jp/article/NEWS/20100304/345314/
.htaccess はWebサーバーの設定を、そのファイルを置いたディレクトリだけ変更できる、というものです。
Webサーバーの機能を上書きすることもできる、ある意味便利な機能です。
しかし、これがこうやって利用されたらかなり怖いですね。
WebサーバーへのFTPアカウントなどを盗まれたらこれを仕込むことができますよね。
しかし、そもそもFTPアカウントを盗まれたらそれ自体がおおごとかも。
Webページの改ざんなどできちゃいますから。
これが怖いなぁ、というのはユーザー側がほとんど気付かないだろうな、ということですね。
Webセキュリティということは、常に真剣に考えていかねばいけませんね…。