Имеется статический сайт на GitHub Pages, где допустимо хранить только html, css и javascript . Читал, что статические сайты менее уязвимы к взлому, но не на 100%.
Пароли хранятся в надёжном месте, браузер портативный.
Каким образом могут осуществляться хакерские атаки на статический сайт, и как от них защититься?
Ответ
Прежде чем говорить о возможности взлома, надо оценить возможный профит от этого:
Получение контроля над чужими вычислительными мощностями: малореально, Github защищается даже от вас в этом отношении: он не позволяет использовать пользовательские плагины для Jekyll (единственного поддерживаемого движка), которые могут содержать произвольный код на Ruby.
Держитесь крепче за свой GitHub-аккаунт:
Включите двухфакторную аутентификацию.
Для аутентификации через Git используйте SSH-ключи, и назначайте им такие имена, чтобы можно было узнать, какому ключу при случае закрывать доступ.
Получение конфиденциальных данных пользователей: а вы их собираете? Храните? Github Pages не даёт никаких возможностей по хранению на стороне сервера. Остаётся вариант хранения данных на клиенте (там чего только нет нынче: WebSQL, IndexedDB, LocalStorage) или перехват прямо при вводе.
При отсутствии доступа к клиенту хотя бы на уровне браузера (если у пользователя вредоносные расширения в браузере или дыры/лазейки в ОС, вы вряд ли что-то сделаете) остаётся только обманом заставить пользователя выполнить JS-код злоумышленника: это XSS
Самый банальный случай — вывод фрагмента URL без экранирования: если там "случайно" (по присланной кем-то ссылке) окажется