Jogos. Ott van maga a webszerver, a nyelv esetleges implementációs hibái, maga a weblap kódjában a hibák, mögötte az esetleges adatbázis hibái, stb.
Á szerintem zárjuk be az egészet. :)
Egyébként ezért mondtam korábban, hogy ha csak kevés user van, akkor a webes szolgáltatás menjen kliens certificate-tel. De legalább https és basic auth (random usernevek, erős jelszó amit az admin oszt, jelszavak hetente változnak, de pl. apache összeköthető google auth-tal és tádám!).