Więcej
Jakie są największe nierozwiązane problemy w zakresie bezpieczeństwa IT?
Niedawno myślałem o wszystkich rozwiązanych problemach z bezpieczeństwem IT, takich jak XSS (który można złagodzić poprzez walidację danych wejściowych), SQL Injection (złagodzony poprzez przygotowane deklaracje), itp.
Teraz zastanawiam się, jakie są największe nierozwiązane problemy bezpieczeństwa w roku 2010? Zastanawiam się tutaj, czy istnieją tam luki, dla których nie znamy jeszcze dobrego sposobu na ich ograniczenie. Z wyjątkiem tego, w jaki sposób możemy sprawić, by wszyscy korzystali z rozwiązań rozwiązanych problemów.
28
4
Inżynieria społeczna jak na razie.
Ludzie pozostaną podatni na inżynierię społeczną przez długi czas, a jak mówi przysłowie: "Bezpieczeństwo jest tylko tak dobre jak najsłabsze ogniwo".
Tak wiele odpowiedzi tutaj mówi, że nierozwiązanym problemem jest "użytkownik" lub jakiś wariant, że jestem zmuszony stwierdzić, że największym nierozwiązanym problemem są praktycy bezpieczeństwa, którzy uważają, że użytkownik jest wrogiem.
Podstawową przyczyną jest polityka lub procedura bezpieczeństwa, która nie przynosi żadnych widocznych korzyści, tzn. zabiera użytkownikowi czas i wysiłek, bez możliwości zobaczenia, co robi dla nich. Rozwiązanie tego problemu będzie wymagało połączenia wiedzy infoseckiej z inżynierią użyteczności i naukami społecznymi w celu wynalezienia nowych doświadczeń z zakresu bezpieczeństwa, które są wrażliwe i pozwalają użytkownikom dostrzec ich korzyści.
Nie można tak naprawdę rozwiązać problemu użytkownika końcowego. Cóż, prawnie lub etycznie tak czy inaczej. Mój głos idzie w kierunku problemu Home Realm Discovery.
EDIT: Problem użytkownika końcowego był w odniesieniu do wcześniej zamieszczonych odpowiedzi. Home Realm Discovery jest częścią modelu uwierzytelniania opartego na roszczeniach, gdzie można wybrać pomiędzy wieloma usługami/organizacjami, aby zapewnić tożsamość użytkownika, podobnie jak OpenID/OpenAuth. Problem pojawia się, gdy trzeba dowiedzieć się, od którego dostawcy można uzyskać informacje, ponieważ nie wiadomo jeszcze nic o użytkowniku. To jest sprawa Chicken/egg: jak dowiedzieć się, kto ma uwierzytelnić użytkownika, skoro nie wiesz, kogo używa do zapewnienia jego tożsamości.
Pierwszą oczywistą odpowiedzią jest użycie tylko jednego dostawcy, ale to niweczy korzyści płynące z tego modelu.
Drugą oczywistą odpowiedzią jest zapytanie użytkownika. Jednakże, jest to upadek openID'u. Większość ludzi nie ma pojęcia, kto jest ich dostawcą. I co się dzieje, gdy można uwierzytelnić się przeciwko Google i Facebook, ale nie wiesz, który z nich jest związany z profilem aplikacji wywołującej?
To jest czule nazywane problemem NASCAR z OpenID - strona startowa dla OpenID ma zazwyczaj bajmilionowe logo dla dostawców, więc musisz wybrać, z którego dostawcy korzystać. Który z nich się psuje, gdy masz niestandardowego dostawcę.
Pamiętasz CardSpace/InfoCard/Information Cards? To próbuje rozwiązać problem. Teoretycznie robi całkiem niezłą robotę. Praktycznie niewiele.
Bezpieczeństwo telefonu komórkowego
Istnieje wiele smartfonów, które są celem wirusów i przeciekających informacji firmowych. Trudno jest znaleźć jednolity sposób na wyeliminowanie tych luk w zabezpieczeniach, a jednocześnie zapewnić elastyczne środowisko użytkownika.
Obecnie patrzę na Goodlink, aby zapewnić bezpieczeństwo poczty elektronicznej na wielu urządzeniach. Prosimy o komentarz, jeśli wiesz o czymś jeszcze