Sto facendo una riprogettazione per un cliente che è comprensibilmente preoccupato per la sicurezza dopo essere stato violato in passato. Inizialmente avevo suggerito di utilizzare una semplice inclusione di PHP per i modelli di intestazione e piè di pagina e un modulo di contatto che volevano. Sono riluttanti perché sono stati informati dalla loro società di hosting che usare PHP è un problema di sicurezza che potrebbe consentire a qualcuno di entrare in cPanel e ottenere il controllo del sito.
Questo, per me, suona come dire a qualcuno di non guidare mai così non sarà in un incidente d'auto. Il mio istinto è che l'host sta cercando di spostare la colpa sul client per i difetti di sicurezza nel proprio sistema. Inoltre, il server ha ancora installato PHP, sia che lo usiamo o meno, quindi sto chiedendo quanto questo riduca effettivamente la superficie di attacco ... Ma dal momento che non sono un esperto di sicurezza, non voglio attaccare il mio piede nella mia bocca.
Ho detto al mio cliente che per elaborare il modulo di contatto avrà bisogno di qualche forma di scripting dinamico. (Falso?) Mi hanno chiesto se potevo usare PHP su quella sola pagina. Questo sarebbe misurabilmente più sicuro, o è l'equivalente del blocco delle portiere della tua auto e del finestrino abbassato?
Quanta verità c'è dietro l'affermazione che l'uso di qualsiasi script PHP, non importa quanto semplice, è un problema di sicurezza inerente? Siamo su hosting condiviso senza SSL. È ragionevole presumere che siamo stati violati a causa dell'uso di PHP? Saremo più sicuri se non lo usiamo, ma non possiamo disinstallarlo? Perché se no, abbiamo altri problemi.
(La risposta sarà diversa per qualsiasi altra lingua?)