Die Anforderungen an die Sicherheit von Programmen (Absicherung des Zugriffs und der Ausführung) sind im lokalen Kontext andere, als auf dem Webserver.
Z.B. will ich für ein Skript Vorgaben per INI machen. Dazu gehören auch Pfadangaben. Die Pfade kann ich auf ihre Existenz prüfen, aber ob mir hypothetisch jemand, der die INI manipuliert hat, einen anderen Pfad unterjubelt, natürlich nicht. Wenn die Prüfungsmöglichkeiten aber nicht genügen oder ich die Hälfte übersehe, müsste ich die Werte gleich hart in das Programm schreiben.
Dein Problem wird nicht so ganz klar, insbesondere, was das mit Python und Webservern zu tun haben soll.
Dateien können grundsätzlich immer manipuliert worden sein, völlig egal, ob das sie nutzende Programm in PHP, Python, C oder sonstwas geschrieben wurde, oder ob das Programm von einem Webserver gestartet wurde oder händisch in der Befehlszeile.
Es hilft dir erstmal auch nichts, Werte fest einzuprogrammieren (fest, nicht veränderbar; hart ist was anderes), auch dein Skript kann schließlich manipuliert werden.
Deine Frage dreht sich alleine um die Rechtevergabe im Dateisystem und inwieweit du dem Nutzer deines Programms die Nutzung zutraust. Erlaubst du dem Nutzer, Einstellungen in einer separaten Datei zu sichern, wirst du dich damit abfinden müssen, dass er da auch Unsinn reinschreibt (und diesen Unsinn im Programm abfangen müssen), anders geht es nicht.
Welchen Unsinn du nun wiederum zulässt, hängt ganz vom Einsatzbereich deines Programms ab, dazu kann es keine Allgemeinplätze geben. Welche Dateirechte du unter Windows setzen kannst, hat nichts mit Python zu tun oder mit Webservern.