Ist es auch möglich, dass das Chat-Script vollen Zugriff auf die Unterverzeichnisse hat, aber wenn man es per Browser aufruft, dass der Zugriff nicht erlaubt wird (HTTP 403)?

Klar, weil das Chat-Skript direkt auf Dateien zugreift, der Browser dagegen sich vom Webserver via URL ein Dokument liefern läßt.
Deshalb kann man im Webserver eine Zugriffskontrolle dazwischenschalten, etwa diese hier: http://www.teamone.de/selfaktuell/schroepl01.htm.