Страницы

Поиск по вопросам

воскресенье, 1 декабря 2019 г.

Безопасность статического сайта

#безопасность


Имеется статический сайт на GitHub Pages, где допустимо хранить только html, css
и javascript . Читал, что статические сайты менее уязвимы к взлому, но не на 100%. 

Пароли хранятся в надёжном месте, браузер портативный.

Каким образом могут осуществляться хакерские атаки на статический сайт, и как от
них защититься? 
    


Ответы

Ответ 1



Прежде чем говорить о возможности взлома, надо оценить возможный профит от этого: Получение контроля над чужими вычислительными мощностями: малореально, Github защищается даже от вас в этом отношении: он не позволяет использовать пользовательские плагины для Jekyll (единственного поддерживаемого движка), которые могут содержать произвольный код на Ruby. Держитесь крепче за свой GitHub-аккаунт: Включите двухфакторную аутентификацию. Для аутентификации через Git используйте SSH-ключи, и назначайте им такие имена, чтобы можно было узнать, какому ключу при случае закрывать доступ. Получение конфиденциальных данных пользователей: а вы их собираете? Храните? Github Pages не даёт никаких возможностей по хранению на стороне сервера. Остаётся вариант хранения данных на клиенте (там чего только нет нынче: WebSQL, IndexedDB, LocalStorage) или перехват прямо при вводе. При отсутствии доступа к клиенту хотя бы на уровне браузера (если у пользователя вредоносные расширения в браузере или дыры/лазейки в ОС, вы вряд ли что-то сделаете) остаётся только обманом заставить пользователя выполнить JS-код злоумышленника: это XSS. Самый банальный случай — вывод фрагмента URL без экранирования: если там "случайно" (по присланной кем-то ссылке) окажется