LINUX.ORG.RU

Security by Obscurity

 ,


0

3

Так ли сабж плох? Я знаю и аргументы за, и аргументы против. Есть ли какая-нибудь статистика или еще какие авторитетные доводы за и против?

★★

Последнее исправление: cetjs2 (всего исправлений: 1)

Ответ на: комментарий от Deleted

Например если программа не опенсурс, то нельзя посмотреть ее исходный код, чтобы опискать в нем уязвимости. Дизассемблировать - куда сложнее и неудобнее.

А если не программы, а системы какие-то, то очевидно, что тыкаться вслепую - сложнее, чем когда все задокументировано.

hlebushek ★★
() автор топика
Ответ на: комментарий от hlebushek

Тем не менее, если бинарник доступен, то дизассемблировать можно, и если это окупится, то это будут делать. Это очень слабая защита.

Ситуация немного лучше, если то, что защищено, доступно потенциальному хацкеру только по сети: тогда в теории ему придётся тыкаться вслепую (что далеко не настолько сложно, как кажется на первый взгляд). А на практике — придётся задействовать социальную инженерию.

К тому же, в обеих случаях система уязвима для тех, кто занимался ее созданием либо обслуживанием. Достаточно одного обиженного бывшего сотрудника, чтобы вся «безопасность» рухнула.

Но вообще под аргументами «за» я имел в виду такие, которые убедили бы меня, имея «традиционную» систему безопасности и систему «security by obscurity», выбрать вторую.

Deleted
()

Как всегда. Истина где-то посередине

fornlr ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.