| О "безопасности" |
[Apr. 7th, 2006|05:12 pm] |
Приходит шеф и предлагает схему, согласно которой наш клиент вводит свой пароль не у нас а на терминалах третьей стороны и софт третьей стороны вызывает нас с этим паролем в качестве одного из аргументов.
я говорю так делать категорически нельзя. потому что пароль будет просто передан в распоряжение третьим лицам, ни больше ни меньше.
а он мне отвечает: "Это уже проблемы безопасности, об этом мы потом поговорим, главное что у нас есть принципиальная возможность это реализовать".
есть вещи о которых нельзя "поговорить потом" - "потом" будет поздно.
Безопасность это не модуль какой-то там, это свойство самой информационной системы вцелом, можно говорить в каком именно месте система более небезопасна, но нельзя к ней эту безопасность пришить, особенно когда небезопасен сам алгоритм, а именно в нём как правило собака и порылась, да ещё в отношении людей... но это отдельный разговор.
Вот именно поэтому я скептически отношусь к работе сторонних наёмных специалистов по безопасности. |
|
|