Чеклист по безопасности сайта? Что еще посоветуете?

Категорически не согласен с вашим выражением "Невозможно взять и сделать сайт безопасным".

Быть готовым ко всему не готов никто, но поставить целью обеспечение безопасности сайта в автоматическом режиме, т.е. как само собой разумеющееся - всего лишь ваша воля.

Я сделал тестовый сайт и считаю что его невозможно взломать и поэтому он безопасен.

Никто вам не запрещает так считать.

Вы хотите проверить?

VanJo,

его невозможно взломать и поэтому он безопасен

Все известные мне фреймворки, веб сервера, и ОС содержат уязвимости.
Вы же утверждаете что сделали сайт который невозможно взломать - следовательно ОС, фреймворки и веб сервера у вас все свое и абсолютно безопасное?

Сайт кодирует все текстовые данные
передаваемые как с сервера так и на сервер.
Декодирование полученного текста производится непосредственно в Вашем браузере с использованием динамического секретного ключа.

Т.е данные передаются в открытом виде?

Не совсем Вас понимаю - не хотите ли Вы сказать, что для того чтобы человек посередине, задумавший взломать мой сайт, использовал для взлома либо уязвимости ОС моего ПК, либо веб сервера?
Тогда не так далеко и до терморектального криптоанализа :)

человек посередине, задумавший взломать мой сайт, использовал для взлома либо уязвимости ОС моего ПК, либо веб сервера?

Да, это один из самых популярных способов взлома.

Неужели повсеместно и на раз ломают https,

О взломе протокола https не слышал, вроде никто еще его не сломал. Хотя обойти его - не проблема.

Те символы, что Вы могли видеть по окончании загрузки страницы с моего сайта приходят в Ваш браузер в кодированном виде, и декодируются непосредственно в браузере с использованием длинного-предлинного ключа,

Смешно.
Поясню -
Во первых кодирование это просто преобразование информации из формы удобной в одном случае в другую форму. Информацию кодирование никак не защищает, это вам любой школьник скажет.

Поэтому и считаю свой сайт НЕВЗЛАМЫВАЕМЫМ!

Вы можете считать свой сайт каким угодно, это ваше право.
А взламываются все сайты - не бывает абсолютно защищенных систем.
Бывают только системы которые относительно хорошо защищены.

В большинстве случаев взлома сайтов -когда сами сайты хорошо защищены, ломают соседнюю инфраструктуру - хостинг, соседний аккаунт на сервере, используют секретный ключ с ноутбука, который пьяный сотрудник фирмы оставил в кабаке, и.т.д, потому что это проще.

И то уж хорошо, что все же существуют относительно хорошо защищенные системы.
АртемЪ, ну что Вам стоит попробуйте взломать, будете первым ВЗЛОМАВШИМ! Ну хоть разочек :)
Где то читал, пишут же, что можно взломать даже html.

VanJo,

Ваш сайт хочет передать мне пароль доступа, при том что я зашел на Ваш сайт первый раз, и не собираюсь к тому же светить свой телефон, какую защиту он может применить? только https?

Да, https. А разве вам известны более эффективные методы защиты?

ну что Вам стоит попробуйте взломать, будете первым ВЗЛОМАВШИМ!

Закон Неуловимого Джо знаете? Именно он мешает взломать ваш сайт, как и множество других :)

Вот! Наконец то Вы подкрались к моему Jo !

Вернемся в начало:
"Невозможно взять и сделать сайт безопасным" - можно!
Сделать сайт безопасным - всего лишь ваша воля! - примем это за аксиому.

Где же найти ЛЮБОПЫТНОГО хакера ?

Нигде, таких идиотов нет.
Положите на сайт что-то ценное, и его взломают. А бесплатно это никому не нужно.

Обнаружен дамп, содержащий 773 млн email-адресов и 21 млн уникальных паролей
https://xakep.ru/2019/01/18/collection-1/

VanJo,

Сайты почтовики настолько беспечны

При чем тут сайты почтовики? Можно подумать пароли оттуда берут.

это ли не доказательство ненадежности тайны личной переписки.

Что за тайна личной переписки, и почему она должна быть надежна?

Если хочется чтобы переписка была в тайне - это можно обеспечить предприняв некоторые меры.
Если никаких мер не предпринимать - о какой тайне можно говорить?

"Что за тайна личной переписки, и почему она должна быть надежна?" ??? Вы меня поражаете своим вопросом, похоже даже не подозреваете что где то может быть написано:
Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.

VanJo,

Каждый имеет право

Ну никто это право не отбирает.
Вам что запрещают это? Ни в коем случае.
Но обеспечивать за вас это никто не будет. Это уж сами обеспечивайте.

"некоторые меры" не иначе как кодирование?

При чем тут кодирование?
Кодирование это преобразование информации в другую форму. Например кодирование текста в код Морзе, для передачи по телеграфу, или кодирование в BASE64.
Кодирование никак не защищает информацию, просто позволяет с ней более удобно работать.

а кодированию сайта не доверяете

Кто сказал что я не доверяю кодированию сайта? В сайтах обычно используется BASE64 - прекрасно работающая стабильная система кодирования.
Не замечал чтобы она работала со сбоями - нет причин не доверять.

"Но обеспечивать за вас это никто не будет. Это уж сами обеспечивайте." - на этом и построены как правило популярные почтовые сайты. И пароли пачками - хакеры 21 млн. их обозначили, откуда? Или все же пароли в открытом виде идут в трафик, ну пишутся там автоматически, раз они в таком количестве. Не поштучно же 21 млн.

VanJo,

Вы о кодировании символов, я о шифровании

Вы же сказали - кодирование.

Шифрование то какое отношение к кодированию имеет?

И пароли пачками - хакеры 21 млн. их обозначили, откуда?

Да элементарно.
Ломаешь какой нибудь интернет магазин сливаешь хэши паролей и адреса почты, после чего по радужным таблицам подбираешь пароль.
У 80% людей один пароль на большинство сервисов.

Или все же пароли в открытом виде идут в трафик,

Сейчас откуда в открытом виде пароли в трафик попадут? Даже самый никому не нужный сайт использует https.

https у меня встроен в javascript

Это чушь собачья.
javascript это язык программирования.
https - это расришение для протокола передачи данных.
Это все равно что заявить что в русский язык встроено расширение для передачи данных по сети.
Можете привести текст из документации javascript где указано что в язык встроен какой-то там протокол?

Радужные, подобранные пароли - так их же как то надо испробовать, а и на этот случай я что то там еще придумал. Не пройдут радужные! Проверяйте.

Что такое радужные пароли? Никогда о таком не слышал.

Ломаешь какой нибудь интернет магазин.........." - Вы же не пробовали практически ничего никогда ломать, я прав?

Разумеется не пробовал. Я умный и законопослушный человек.
И если я совершил преступление, то разумеется не буду признаваться в этом публично.

https у меня встроен в javascript - а у Вас разве нет? может javascript Ваш более ранней версии, или браковый попался :))))))))))))))))))))))))))))))))))

VanJo,

знаете, я тоже нигде не встречал чтобы в яп javascript встроен протокол

Ну если не знаете, то зачем такую чушь пишите? Что у вас встроен?

та не пароли радужные - а таблицы (от Вас о них же и услышал)

Радужные таблицы это индексированные таблицы хэшей для некоторого количества значений. Служат для быстрого поиска значения по его хэшу. . О радужных паролях я ничего не слышал.

так вот не пройдут все эти попытки с паролями

Какие попытки?

Продолжать разговор с Вами у меня пропал интерес.

VanJo, Ну а какой смысл вести с вами диалог, если вы не знаете базовых вещей и несете явную ахинею про https встроенный в javascript, про какое то доверие кодированию, радужные пароли, и.т.п.
Такое впечатление, что умных слов нахватались, а смысла не понимаете.

Сюда же бы добавил из часто встречающегося: папка .git должна быть закрыта из веб-доступа.

Да и вообще, по-хорошему в веб должна быть видна только папа с index.php и статикой.

как это относится к php приложению?

Sanes, тут речь о безопасности сайта а не о php только

Виктор Батиенко, так можно договориться и до квалификационных экзаменов для пользователя.
Автор пишет php приложение. При чем тут сервер? Может на шареде он будет размещать.

Nikolay Petyukh, а еще бывают дыры на стороне микрокодов процессора и контоллерах жестких дисков. Почему бы это тоже не учитывать?

Nikolay Petyukh, вы вопрос, чтоль перечитайте. Автор пишет приложение на PHP. Каким боком тут сервер? Совсем другая компетенция.

Sanes, а что плохого в том что ему подсказали и не только в части php.
А то с чем чаще всего сталкиваются люди которые заботятся о безопасности сайта.
Или которых уже взламывали. Каждый высказал свой совет и опыт.

Виктор Батиенко, ничего плохого, кроме того, что не в тему.

Sanes, а портянка бесполезных споров под комментом очень в тему. Сервер может иметь прямое отношение к приложению, и все настройки сервера могут храниться в одном репозитории и будут по сути являться частю приложения, например если заворачивать приложение в тот же docker.