Security by Obscurity

0

3

Так ли сабж плох? Я знаю и аргументы за, и аргументы против. Есть ли какая-нибудь статистика или еще какие авторитетные доводы за и против?

Ссылка

←	Закопайте, ненужно...

Влияние шифрования в Linux на восстановление данных

→

И какие аргументы за?

Deleted
(17.11.15 01:18:58 MSK)

Ответ на: комментарий от Deleted 17.11.15 01:18:58 MSK

Например если программа не опенсурс, то нельзя посмотреть ее исходный код, чтобы опискать в нем уязвимости. Дизассемблировать - куда сложнее и неудобнее.

А если не программы, а системы какие-то, то очевидно, что тыкаться вслепую - сложнее, чем когда все задокументировано.

hlebushek ★★
(17.11.15 01:23:31 MSK) автор топика

Ответ на: комментарий от hlebushek 17.11.15 01:23:31 MSK

Тем не менее, если бинарник доступен, то дизассемблировать можно, и если это окупится, то это будут делать. Это очень слабая защита.

Ситуация немного лучше, если то, что защищено, доступно потенциальному хацкеру только по сети: тогда в теории ему придётся тыкаться вслепую (что далеко не настолько сложно, как кажется на первый взгляд). А на практике — придётся задействовать социальную инженерию.

К тому же, в обеих случаях система уязвима для тех, кто занимался ее созданием либо обслуживанием. Достаточно одного обиженного бывшего сотрудника, чтобы вся «безопасность» рухнула.

Но вообще под аргументами «за» я имел в виду такие, которые убедили бы меня, имея «традиционную» систему безопасности и систему «security by obscurity», выбрать вторую.

Deleted
(17.11.15 01:35:52 MSK)