Как исключить возможность взлома на сайте?

Question

[Денис Артемьев]

Здравствуйте, попался очень встревоженный клиент, которого волнует вопрос безопасности.

Задача очень простая, будет landing page (html+css+js) без какого либо исполняемого кода (максимум отправка писем на php). На html страничке будет написан код (обычный текст), который никто и ни в коем случае не должен поменять, иначе случится страшное.

На сайте планируется большая нагрузка (десятки тысяч человек в сутки, а может и в час). Также, заказчик обещает не единичные случаи попыток взломов.

Собственно вопросы:
1) Зря ли вообще переживает клиент?
2) Есть ли необходимость в https?
3) Правильно ли я понимаю, что в данном случае все зависит от безопасности хостера?
4) Посоветуйте, если Вам известны, хорошие хостеры, способные обеспечить безопасность и высокую нагрузку на страничку.

Comments

[alex-1917]

Пока что исходя из вашего текста у вас две потенциальные уязвимости:
1.

максимум отправка писем на php

2.

Также, заказчик обещает не единичные случаи попыток взломов.

- что это? заказчик будет сам себя ломать?)))

немного юмора

На сайте планируется большая нагрузка (десятки тысяч человек в сутки, а может и в час)

КЕМ планируется? Заказчик в розовых очках?)))
50к в сутки - это www.pulscen.ru/, www.eurosport.ru/, www.gibdd.ru

а может и в час

- становится еще смешнее)))
это уровень lenta.ru или если вам понятнее - pikabu.ru )))
ржу с вашего заказчика

[Nobby2519]

Может в таком случае сайт клиента захостить на GitHub Pages?
А аккаунт Github в свою очередь защитить двухфакторной аутентификацией (2FA).
Просто взлом гитхаба вероятно всё сложнее чем сервер рядового хостинга.

Если нужен HTTPS то можно прикрутить через CloudFlare или Incapsula.

Answer 1

[athacker]

1) Зря ли вообще переживает клиент?

Кто ж его знает? Может, у него паранойя, и его сайт, на самом деле, нахрен никому не упал. И ходить туда будут полтора поисковых бота в месяц, и всё.

2) Есть ли необходимость в https?

В HTTPS необходимость всегда есть. Независимо от.

3) Правильно ли я понимаю, что в данном случае все зависит от безопасности хостера?

Если прям всё-всё статикой -- то да.

4) Посоветуйте, если Вам известны, хорошие хостеры, способные обеспечить безопасность и высокую нагрузку на страничку.

VPS-ку приобретайте у флагманов отрасли (Крок, Даталайн, Селектел), и настраивайте её как положено. За основу можете взять CIS benchmark. Они же (CIS) раздают уже преднастроенные образы для Амазона, например.

Answer 2

[sazhyk]

Если у вас только фронт, то взломать могут только вэб-сервер хостера, который отдает эти странички. Тут уж вопрос к нему. Не встречал ещё ни одного хостера, который дал бы 100%-ную гарантию от взлома.

Comments

[Сергей Горностаев]

Стопроцентной гарантии от взлома не существует.

Answer 3

[CityCat4]

1. Может зря. А может и не зря. Все зависит от того, какой клиент и кто ломать будет - то есть опять возвращаемся к вопросу - какова модель нарушителя?
2. Нет. https обеспечивает невозможность сьема данных в процессе передачи по каналам связи и гарантирует, что клиент получил именно то, что прочитал с сервера, что поток нигде "по дороге" не модифицирован. Но это все очень зависит от клиента.
3. Правильно. Чем толще заказчик взлома, тем больше у него возможностей напасть. Чем толще хостер, тем больше у него возможностей защититься. Поэтому тут начнется меряние пипи....ми.

Comments

[athacker]

клиент получил именно то, что прочитал с сервера

Строго говоря, клиент получит именно то, что ему отправил некто, закрыв сертификатом сервера, визуально похожем (сертификатом) на тот, который должен быть у этого сервера :-)

[CityCat4]

athacker, ну тогда уж не "визуально похожим", а тем сертификатом, которым стороны обменялись при установке соединения :) Да, это может быть совсем другой сертификат - именно так работает бампинг в прокси и именно так будет идти за всеми нами слежка через госсертификат в весьма скором будущем.