| О "безопасности" |
[Apr. 7th, 2006|05:12 pm] |
Приходит шеф и предлагает схему, согласно которой наш клиент вводит свой пароль не у нас а на терминалах третьей стороны и софт третьей стороны вызывает нас с этим паролем в качестве одного из аргументов.
я говорю так делать категорически нельзя. потому что пароль будет просто передан в распоряжение третьим лицам, ни больше ни меньше.
а он мне отвечает: "Это уже проблемы безопасности, об этом мы потом поговорим, главное что у нас есть принципиальная возможность это реализовать".
есть вещи о которых нельзя "поговорить потом" - "потом" будет поздно.
Безопасность это не модуль какой-то там, это свойство самой информационной системы вцелом, можно говорить в каком именно месте система более небезопасна, но нельзя к ней эту безопасность пришить, особенно когда небезопасен сам алгоритм, а именно в нём как правило собака и порылась, да ещё в отношении людей... но это отдельный разговор.
Вот именно поэтому я скептически отношусь к работе сторонних наёмных специалистов по безопасности. |
|
|
| Comments: |
Сторонние наемные специалисты по безопасности - это хорошо. Они со свежим взглядом и большим жизненным опытом могут найти такую дырку, которую ты своим замыленным взглядом не углядишь, пока её не проэксплойтят. Другое дело что затыкать эту дырку всё равно потом тебе. Возможно, ценой перепроектирования системы.
В общем здесь ситуация как с лоцманом и капитаном на корабле. Лоцман, конечно, хорошо знает все подходы к своему порту, но за сохранность груза и жизни пассажиров отвечает всё равно капитан, поэтому окончательное решение принимать ему. | |
![[info]](http://lj.rossia.org/img/imported-profile.gif){kind=small}