При цьому напряму порівнювати JS і PHP (або Perl чи іншу серверну мову програмування) не можна - бо це client-side і server-side веб додатки. Але уразливості трапляються в обох типах веб додатків і всі вони несуть ту чи іншу небезпеку. Атаки можна проводити і через client-side уразливості.

Завжди будь ласка. Звертайтеся при потребі, зокрема з приводу аудиту безпеки та інших секюріті послуг.

До речі, а де Ви взяли цю каптчу, якщо не секрет?

Це Anti Spam Image плагін для WordPress. Про уразливість в цій капчі я писав в 2007 році, під час мого Місяця багів в Капчах (цю дірку я виправив у версії, що використовую на своєму сайті).

Стосовно математичних капч, то в своєму проекті MoBiC я писав про уразливості в різних математичних капчах, як то в Math Comment Spam Protection (з сайта tehposse.org) та на сайті thepoorhouse.org.uk. Такі капчі легше обходяться (якщо вони текстові), порівняно з іншими. Але будь-яку капчу треба перевіряти на предмет уразливостей, що дозволяють її обійти.

Захистити від атак через сайти лише одними “безпечними браузерами” неможливо. Як ти можеш побачити з усіх тих дірок, що знаходять в самих браузерах - вони є одними з найдірявіших програмних продуктів (це стосується як браузерів, так і плагінів до них). І ситуація з роками тільки погіршується. Поширення шкідливого коду через сайти в першу чергу направлене саме на уразливості в браузерах та їхніх плагінах, а це одна з найголовніших проблем безпеки в Інтернеті.

Про цю проблему я писав в своєму тестуванні систем пошуку вірусів на веб сайтах, в своїй доповіді на конференції в 2011 році та в статті в журналі Системний адміністратор. Тобто навіть не діряві сайти (якщо через дірки на них було розміщено malware, бо деякий відсоток таких випадків відбувається через розміщення коду самими власниками сайтів) є причиною цих атак, а саме діряві браузери. Раз браузери є вразливими, то для них розробляються експлоіти і розміщуються на сайтах (будь то взломані, “партнерські” чи сайти зловмисників), для атаки на користувачів. Тобто “безпечними браузерами”, які самі є небезпечними, не можна заміняти безпеку сайтів і серверів в Інтернеті.

Звичайно безпеку самих браузерів також треба піднімати. Але вони апріорі не захистять від всіх атак в Інтернеті. Та й не тільки споживач страждає (відвідувач сайтів) - існує багато уразливостей і атак, від яких страждають власники веб сайтів і серверів. В тому числі є такі атаки, що направлені одночасно на власників та користувачів сайтів (й часто наносять набагато більшу шкоду саме власнику ресурсу).

Окрім того, що самі браузери не є і не можуть бути панацеєю, так ще й розробники браузерів починають вводити деякі зайві секюріті фішки - замість власників сайтів. Мовляв “ми їм допоможемо”, раз власники сайтів лінуються самі виправляти, то ми зробимо секюріті фішку за них (в першу чергу йдеться про захист від XSS). Що, по-перше, додає лише обмежений захист від конкретного класу уразливостей, і частина з атак на цей клас дірок все ще працює (про що часто забувають власники сайтів та веб розробники), по-друге, працює лише в деяких браузерах (інші браузери не захистять), а по-трете, це ще більше залінює власників сайтів та веб розробників, які ще дужче забивають на безпеку сайтів. І так за цим не слідкують, а після появи подібної фішки в браузері, вони чим дужче на неї посилаються і ще більше забивають на безпеку власних сайтів.

можна було б створити набір заборонених команд

У своїх вищезгаданих статтях та доповіді, я вже писав про такі системи, в тому числі вбудовані в браузери захисти від інфікованих сайтів. Включаючи мою систему Web Virus Detection System, яка розроблювалася для допомоги власникам сайтів та Інтернет-користувачам в боротьбі зі шкідливим кодом на веб сайтах. Тому і я, й розробники браузерів працюємо в цьому напрямку. Але окрім цього потрібно постійно піднімати безпеку сайтів в Інтернеті.