Ich hab das erstmal „als technische Idee fertig“ - und die Aufgabe hat sich (in dem Fall erwartungsgemäß) als nicht trivial erwiesen.

Da entstehen nämlich - jenseits des User-Interfaces (Spielkram auf der Webseite) - Nebenaufgaben:

• Absicherung dagegen, dass Programm selbst angegriffen wird. Unter anderem wird ja ein Shell-Befehl ausgeführt. Dedlfix hat dazu viel gutes geschrieben, heutiger Zustand.
• Absicherung dagegen, dass das Programm bzw. der Dienst für DoS-Attacken missbraucht wird. (Cachen!)
• Absicherung dagegen, dass das Programm bzw. der Dienst für Login-Atacken missbraucht wird. (Filtern)
• Absicherung dagegen, dass das Programm bzw. der Dienst für Attacken auf Sitzungen pder API-Keys missbraucht wird. (Filtern)
• Absicherung dagegen, dass möglicherweise schlechter gesicherte, nur (Netzwerk-)lokale Server (man denke an CUPS auf localhost Port 631, Cockpit auf Port 9090, swat auf Port 901, die Fritzbox,…) über das Programm bzw. den Dienst adressiert werden. (Filtern)
• Beachtung von Umlaut- (IDN-) Domains.