#безопасность
Имеется статический сайт на GitHub Pages, где допустимо хранить только html, css и javascript . Читал, что статические сайты менее уязвимы к взлому, но не на 100%. Пароли хранятся в надёжном месте, браузер портативный. Каким образом могут осуществляться хакерские атаки на статический сайт, и как от них защититься?
Ответы
Ответ 1
Прежде чем говорить о возможности взлома, надо оценить возможный профит от этого: Получение контроля над чужими вычислительными мощностями: малореально, Github защищается даже от вас в этом отношении: он не позволяет использовать пользовательские плагины для Jekyll (единственного поддерживаемого движка), которые могут содержать произвольный код на Ruby. Держитесь крепче за свой GitHub-аккаунт: Включите двухфакторную аутентификацию. Для аутентификации через Git используйте SSH-ключи, и назначайте им такие имена, чтобы можно было узнать, какому ключу при случае закрывать доступ. Получение конфиденциальных данных пользователей: а вы их собираете? Храните? Github Pages не даёт никаких возможностей по хранению на стороне сервера. Остаётся вариант хранения данных на клиенте (там чего только нет нынче: WebSQL, IndexedDB, LocalStorage) или перехват прямо при вводе. При отсутствии доступа к клиенту хотя бы на уровне браузера (если у пользователя вредоносные расширения в браузере или дыры/лазейки в ОС, вы вряд ли что-то сделаете) остаётся только обманом заставить пользователя выполнить JS-код злоумышленника: это XSS. Самый банальный случай — вывод фрагмента URL без экранирования: если там "случайно" (по присланной кем-то ссылке) окажется