Почему безопасность сайта – временное понятие?

В очередной раз мы пишем о необходимости обновления CMS «1С-Битрикс» и хакерских атаках. Наверняка, у кого-то возникнет вопрос: А почему нельзя сразу закрыть все «дыры»? Почему «1С-Битрикс» постоянно выкатывает новые обновления, говоря о том, что повысили безопасность? Отвечаем.

1. Исправляют то, что находят. А что не находят – не исправляют.
2. Нельзя защитить от того, что ещё не существует (хакеры тоже развиваются и находят новые способы атак).

При этом:

• Чем больше кода – тем больше недочётов.
• Чем сложнее механизм – тем больше потенциальных проблем.

Отвлечённый пример:

• Купил сейф – вскрыли замок;
• Купил сейф с очень сложным механизмом замка – спилили петли;
• Сейф с мощными петлями – просверлили через заднюю стенку;
• Толстенные бронированные, что резать часами – украли весь сейф и не спеша вскрыли;
• Вбетонировал его в стену и сделал монолитом – встретили у выхода и стукнули по голове, забрав ключи;
• Поставил охрану – подкупили охрану и те украли и т.д.

Так и с сайтами:

• Есть уязвимости, которые ошибки кода «Битрикса»;
• Есть уязвимости, которые ошибки кода доработок;
• Есть уязвимости из-за особенности функционала;
• Есть недокументированные возможности, о которых никто и не подумал при разработке;
• Есть уязвимости ПО, которое обслуживает сайт (nginx, apache, php, операционной системы, ssh, ftp и т.д.);
• Есть человеческий фактор (например, простые и слитые пароли);
• Есть украденные пароли с взломанных пользовательских учёток, спуфинга;
• Есть недобросовестные люди.

И кроме того:

Есть те, кто от скуки или по работе постоянно ищут уязвимости, либо чтобы исправить, либо чтобы поднять ЧСВ, либо чтобы продать/использовать и т.д.

Когда телефон предлагает обновить ПО, вы ведь соглашаетесь, не обдумывая? – С сайтами должно быть так же.