Выбор технологий для создания безопасного Web-приложения

PHP

как писал ранее, судя из твоих требований берешь за 5$ бомжеvps, накатываешь туда node.js или go, поднимаешь mysql и все будет работать с твоими «500 пользователями», нгинкс еще можно да

Node.js или go - более безопасны, чем PHP или С/HTML или месье, только этими инструментами и владеет? Хостинг не подойдёт - по ТЗ всё в ЦОДе должно быть.

То есть PHP - достаточно безопасен и стоек ко взлому, а фреймы на PHP - не имеют уязвимостей?

Нет ничего дырявее, чем C/C++ в вебе.

Технологии и языки не выпрямят тебе магически руки для создания безопасного приложения.

Нет ничего дырявее, чем C/C++ в вебе.

Пруфы?

Технологии и языки не выпрямят тебе магически руки для создания безопасного приложения.

Это конечно да, но если изначально обезопасить себя, убрав из инструментария потенциально опасные утилиты и использовать только безопасные, то где потенциальной возможности набажить больше: в пыхе или в Сях?

Технологии и языки не выпрямят тебе магически руки для создания безопасного приложения.

Да и потом с точки зрения поддержки такого сайта - что более трудоёмкая задача - обновление машины со средой ПХП, которая может начать не работать из-за обновления любого пакета или машины с Сями, которые перестанут работать только если, что-то криво в Сишных либах?

Хостинг не подойдёт - по ТЗ всё в ЦОДе должно быть.

А ЦОД это не хостинг?

То есть PHP - достаточно безопасен и стоек ко взлому

дело не в PHP, а в том коде, который написан на PHP (или на чем-либо еще)

фреймы на PHP - не имеют уязвимостей?

уязвимость, как правило, может найтись везде. Неломаемых замков не бывает

максмально обезопасить Web-сайт и приклад

Ключевой вопрос - что и от чего надо защищать? Ты боишься пролезания червия через сайт на сервер, утечки данных из БД, или чего?

А ЦОД это не хостинг?

Вообще-то хостинг - это когда я использую вычислительные мощности провайдера услуг, то есть мощности другой компании. А когда я говорил про ЦОД - я имел ввиду свой собственный ЦОД ибо в ТЗ ничего не сказано про то, что мы должны использовать хостинг другой компании. Если бы так и должно было быть, то там было бы так и написано - не покупать своего оборудования, а использовать услуги поставщиков услуг. Вооооооот.

дело не в PHP, а в том коде, который написан на PHP (или на чем-либо еще)

уязвимость, как правило, может найтись везде. Неломаемых замков не бывает

Да и всё же я пытаюсь понять, правда ли то, что PHP настолько неломаем, что его можно безбоязненно использовать?

Ключевой вопрос - что и от чего надо защищать? Ты боишься пролезания червия через сайт на сервер, утечки данных из БД, или чего?

Самая главная защита - защита от хакерских атак и как следствие утечек данных из БД. Ибо известно, что фреймворки ПХП имеют достаточно известное количество уязвимостей, которые может юзать даже не ленивый школьник ради лулзов. Если же я пишу всё сам с нуля на Сях, то баги в моём софте ещё надо найти, на что способен далеко не каждый школьник. Вот я и пытаюсь понять, так это или не так и если так, то стоит ли из-за этого писать всё с нуля на Сях и не юзать ПХП-фреймворки? Часто ли взламывают сайты, написанные и использующие ПХП?

чтобы пользаки вводили на фронтах начальные данные, а приклад считал кое-что по известному алгоритму и выдавал обратно данные пользаку.

утечек данных из БД

Вы путаетесь в показаниях. Что хранить то будете?

Если же я пишу всё сам с нуля на Сях, то баги в моём софте ещё надо найти

Это называется security through obscurity и это совершенно неверный подход.

Вы путаетесь в показаниях. Что хранить то будете?

Я ничего не путаю товарищ начальник, просто я не дописал предыдущее предложение, которое должно выглядеть так: "...чтобы пользаки вводили на фронтах начальные данные, а приклад считал кое-что по известному алгоритму с использованием данных из БД и выдавал обратно данные пользаку." В БД планируем хранить научную информацию о положении объектов типа: координаты объекта, вектор движения, ускорение, тип объекта, кому принадлежит, нумерация и прочие данные. Точнее раскрыть не могу, но пимерно так. Этого достаточно для понимания?

Node.js или go - более безопасны, чем PHP или С/HTML или месье, только этими инструментами и владеет?

безопасны? если руки кривые то ничего не безопасно, или вы про модель памяти? определенно более безопасны чем C, пхп вообще не язык а набор скриптов для хоумпейджа который умирает под любой нагрузкой

всё сам с нуля на Сях, то баги в моём софте ещё надо найти, на что способен далеко не каждый школьник

это если вы обладаете достаточным количеством знаний в веб-безопастности. А заданный вами вопрос свидетельствует об обратном. Без обид, не хочу сказать ничего плохого в вашу сторону...

И php - как бы и сделан именно для веба, в отличии от C.

Часто ли взламывают сайты, написанные и использующие ПХП

чаще всего взламывают сайты, использующие наиболее популярные технологии. Потому, что таких сайтов просто больше, отсюда и и статистика.

безопасны? если руки кривые то ничего не безопасно

А если руки прямые?

то нужно выбрать язык/технологии/фреймворки под поставленную задачу и вперед...

Пишите без: sql-инъекций, xss-дыр, аплоада скриптов, инклюда задаваемых извне файлов|контента. Солите пароли динамической солью в hmac. Не используйте md5. Это для начала.

Как там, у бабушки в деревне?

Летние каникулы еще только начались, а ЛОР уже весь упоротый.

Ты точно уверен, что тебе край как нужна секьюрность? И что не будет проще просто делать бэкуп с какой-то периодичностью?

Смотря какой контент будет в вебе...

Мой сайтец периодически громят, конкурентам не нравится =)

Интересует самый крайний ответ с точки зрения параноика - что использовать, чтобы максмально обезопасить Web-сайт и приклад от взламывания и при этом, чтобы это ещё и работало?

Что-то на Lisp'е уже написали: https://habrahabr.ru/post/111365/

О боже, у меня монитор жиром покрылся

Любое бери, только к Интернету не подключай, это опасно.

О боже, у меня монитор жиром покрылся

А ты поплюй на моник - жир и отвалится

Любое бери, только к Интернету не подключай, это опасно.

Сходи к себе на работе в отдел безопасности и скажи, что не больше нуждаешься в их услугах и фаерволы тебе больше не нужны. Также удали со всех своих компов и серваков антивирусы, а зачем тебе они, пусть слабаки и параноики пользуются защитой.

Тебе не технологии, а методика и опыт писания безопасных приложении нужен. Насчёт технологии - PHP, MySQL, Apache хватит через глаза, если руки прямые.

В БД планируем хранить научную информацию о положении объектов типа: координаты объекта, вектор движения, ускорение, тип объекта, кому принадлежит, нумерация и прочие данные. Точнее раскрыть не могу, но пимерно так. Этого достаточно для понимания?

Вполне. Ты лепишь очередной флайт радар или спаЦе радар или шЫп радар. :)

Ну дык посмотри на чём крутые пацаны это ___уже___ сделали и попытайся повторить.

PS: А если бы ты был реально из тех отраслей, то ты бы не спрашивал, там у них стандарты жёсткие и они __соблюдаются__ :)

Вполне. Ты лепишь очередной флайт радар или спаЦе радар или шЫп радар. :)

Ну ё-маё, как я сам не догадался до такого? Сильный ход.

PS: А если бы ты был реально из тех отраслей, то ты бы не спрашивал,

А я обязан быть из тех отраслей, чтобы иметь возможность спрашивать инфу? Или вы из тех новоиспечённых которые на любой вопрос отвечают шаблоном: если ты этого не знаешь, то тебе этого не нужно?

фронт-енд = nginx

Вот это новости.

фронт-енд = nginx

Вот это новости.

А разве нет? А как надо делать?