Почему является безопасность через мрак плохой идеей? [закрытый]

Используйте класс boostrap flex-grow-1, чтобы позволить элементу расти и заполнять оставшееся пространство ( https://getbootstrap.com/docs/4.2/utilities/flex/#grow-and-shrink )

body {
  padding: 2em;
}

div.cont {
  border-left: 1px dotted gray;
  border-right: 1px dotted gray;
}

foo bar This should stretch.

68
задан casperOne 5 April 2012 в 14:03
поделиться

14 ответов

Безопасность через мрак проложила бы Ваши деньги под землей под деревом. Единственная вещь, которая делает это безопасным, никто не знает, что это там. Реальная безопасность помещает его позади блокировки или комбинации, скажите в сейфе. Можно поместить сейф на угол улицы, потому что, что делает, защитить случается так, что никто не может проникнуть внутрь него, но Вы .

, Как упомянуто @ThomasPadron-McCarty ниже в комментарии ниже:

, Если кто-то обнаруживает пароль, можно просто изменить пароль, который легок. Если кто-то находит местоположение, необходимо вскопать деньги и переместить их где-то в другом месте, который является намного большим количеством работы. И если бы Вы используете безопасность с помощью мрака в программе, необходимо было бы переписать программу.

105
ответ дан Michał Perłakowski 24 November 2019 в 14:04
поделиться

Одна точка, которую я должен добавить, который не был затронут еще, является невероятной способностью Интернета разбить безопасность через мрак.

, Как был показан снова и снова, если Ваша единственная защита состоит в том, что "никто не знает черный ход,/bug/exploit там", затем все это, который - взятия, чтобы один человек споткнулся через него и, в течение минут, сотни людей будут знать. На следующий день в значительной степени все, кто хочет знать, будут. Ай.

0
ответ дан Dave Sherohman 24 November 2019 в 14:04
поделиться

Если ОС является Windows, взгляд на использование Защиты данных API (DPAPI). Это не безопасность с помощью мрака и является хорошим способом сохранить данные для входа в систему для необслуживаемого процесса. Как в значительной степени все говорят здесь, безопасность через мрак не дает Вам много защиты.

http://msdn.microsoft.com/en-us/library/ms995355.aspx

http://msdn.microsoft.com/en-us/library/ms998280.aspx

1
ответ дан RussellH 24 November 2019 в 14:04
поделиться

Слабое шифрование только удержит наименее мотивированных хакеров, таким образом, это не будет бесполезно, просто не очень ценно, особенно когда устойчивое шифрование, как AES, доступно.

безопасность через мрак основана на предположении, что Вы умны, и Ваши пользователи глупы. Если то предположение будет основано на высокомерии и не эмпирических данных, то Ваши пользователи - и хакеры - определят, как вызвать скрытый метод, поднять несвязанную страницу, декомпилируйте и извлеките незашифрованный пароль из .dll, и т.д.

Тем не менее, обеспечивающие всесторонние метаданные пользователям не являются хорошей идеей, и затемнение является совершенно допустимой техникой, пока Вы создаете резервную копию его с шифрованием, авторизацией, аутентификацией и всеми теми другими принципами безопасности.

1
ответ дан MatthewMartin 24 November 2019 в 14:04
поделиться

Это почти никогда хорошая идея. Это - то же для высказывания, действительно ли это - хорошая идея управлять без ремня безопасности? Конечно, можно найти некоторые случаи, где это соответствует, но anwser должное для испытания кажется очевидным.

2
ответ дан Fernando Miguélez 24 November 2019 в 14:04
поделиться

Я утверждал в одном случае, что защита паролем является действительно безопасностью через мрак. Единственная безопасность, о которой я могу думать, который не был бы STO, является своего рода биометрической безопасностью.

Помимо того бита семантики и выбора гниды, STO (безопасность через мрак) очевидно плох в любом случае, где Вам нужна реальная безопасность. Однако могли бы быть случаи, где это не имеет значения. Я часто буду XOR заполнять текстовый файл, я не хочу никого чтение. Но я действительно не забочусь, делают ли они, я просто предпочел бы, чтобы это не было считано. В этом случае это не имеет значения, и клавиатура XOR является идеальным примером легкого для обнаружения STO.

3
ответ дан stephenbayer 24 November 2019 в 14:04
поделиться

Безопасность - о впущении людей или не допускании они в зависимости от того, что они знают, кто они, или что они имеют. В настоящее время, биометрика не хороши в нахождении, кто Вы, и там всегда будет проблемами с ним (считыватели отпечатков пальцев для кого-то, кто был в плохом несчастном случае, подделал цифровые отпечатки, и т.д.). Так, на самом деле большая часть безопасности о запутывании чего-то.

Хорошая безопасность о хранении материала, необходимо свести секрет к минимуму. Если у Вас есть правильно зашифрованный канал AES, можно позволить плохим парням видеть все об этом кроме пароля, и Вы в безопасности. Это означает, что Вы имеете намного меньшую область, открытую для нападения, и можете сконцентрироваться на обеспечении паролей. (Не то, чтобы это тривиально.)

, Чтобы сделать это, необходимо быть уверены во всем кроме пароля. Это обычно означает использовать промышленный стандарт crypto, на который посмотрели многочисленные эксперты. Кто-либо может создать шифр, который они не могут взломать, но не все может сделать шифр, который не может взломать Bruce Schneier. С тех пор существует полное отсутствие теоретических основ для безопасности шифра, безопасность шифра определяется при наличии большой очень умной и хорошо осведомленной попытки людей придумать нападения, даже если они не практичны (нападения на шифры всегда поправляются, никогда не хуже). Это означает crypto потребности алгоритма быть широко известными. У меня есть очень сильная уверенность в Усовершенствованном стандарте шифрования и почти ни один в патентованном алгоритме, который Joe записал и запутал.

Однако были проблемы с реализациями crypto алгоритмов. Легко непреднамеренно покинуть дыры, посредством чего ключ может быть найден, или другой сделанный вред. Это произошло с альтернативным полем подписи для PGP и слабыми местами с SSL, реализованным на Linux Debian. Это даже произошло с OpenBSD, который является, вероятно, самой безопасной легко доступной операционной системой (я думаю, что это - до двух использования за десять лет). Поэтому они должны быть сделаны уважаемой компанией, и я чувствовал бы себя лучше, если бы реализации были открытым исходным кодом. (Закрытый исходный код не остановит решительного взломщика, но он будет мешать случайным хорошим парням находить, что дыры закрываются.)

Поэтому, если бы я хотел безопасность, я попытался бы иметь свою систему, максимально надежную, что означает максимально открытый за исключением пароля.

безопасность Разделения на уровни с помощью мрака сверху уже защищенной системы могла бы помочь некоторым, но если система, безопасная, не будет необходимо, и если это небезопасно, лучшая вещь состоит в том, чтобы заставить его защитить. Думайте о мраке как менее уважаемые формы "альтернативной медицины" - это очень вряд ли поможет многому, и в то время как это вряд ли причинит боль очень отдельно, что это может сделать пациента менее вероятно для обращений к компетентному врачу или специалисту по компьютерной безопасности, какой бы ни.

Наконец, я хотел бы сделать абсолютно незапрашиваемый и незаинтересованный разъем для блог Bruce Schneier как не что иное как заинтересованный читатель. Я узнал много о безопасности от него.

4
ответ дан David Thornley 24 November 2019 в 14:04
поделиться

Одному из лучших способов оценить, тестируя или улучшая продукт безопасности состояла в том, чтобы барабанить в него большая, умная группа равных узлов.

продукты, которые полагаются для их безопасности на то, чтобы быть "черным квадратом", не могут обладать преимуществом этого вида теста. Конечно, быть "черным квадратом" всегда приглашает подозрение (часто выравниваемый по ширине), что они не противостояли бы такому исследованию так или иначе.

3
ответ дан Brent.Longborough 24 November 2019 в 14:04
поделиться

Используя мрак, поскольку соглашаются все эти люди, не безопасность, ее покупка себя время. Это сказало, что реализация достойной системы безопасности затем добавление дополнительного слоя мрака все еще полезна. Позволяет говорят завтра, что кто-то находит непобедимую трещину/дыру в ssh сервисе, который не может быть сразу исправлен.

, Как правило, я реализовал в доме... все общедоступные серверы выставляют только необходимый (http/https) портов и ничто больше. Один общедоступный сервер затем будет иметь ssh выставленным Интернету в некотором неясном высоком пронумерованном порте и триггерной установке сканирования портов для блокирования любого IP, которые пытаются найти его.

Мрак имеет свое место в мире безопасности, но не как первая и последняя линия обороны. В примере выше, я не получаю нападений сценария/бота на ssh, потому что они не хотят проводить время, ища нестандартный ssh порт услуг и если они делают, их маловероятное для нахождения его, прежде чем другой уровень безопасности вступит и отключит их.

6
ответ дан David 24 November 2019 в 14:04
поделиться

Один фактор способность восстановиться с нарушения защиты. Если кто-то обнаруживает Ваш пароль, просто сбросьте его. Но если кто-то раскрывает Вашу неясную схему, Вы политы из шланга.

7
ответ дан John D. Cook 24 November 2019 в 14:04
поделиться

Главная причина это - плохая идея, состоит в том, что это не решает базовые проблемы, просто попытки скрыть их. Рано или поздно проблемы будут обнаружены.

кроме того, дополнительное шифрование подвергнется дополнительным издержкам.

Наконец чрезмерный мрак (как использование контрольных сумм) делает обслуживание кошмаром.

Лучшие альтернативы безопасности должен устранить потенциальные слабые места в Вашем коде, такие как осуществленные исходные данные для предотвращения инжекционных нападений.

10
ответ дан z - 24 November 2019 в 14:04
поделиться

Безопасность через мрак является интересной темой. Это (справедливо) порочат вместо эффективной безопасности. Типичный принцип в криптографии - то, что сообщение неизвестно, но содержание не. Алгоритмы для шифрования обычно широко публикуются, анализируются математиками и, через некоторое время, некоторая уверенность создается в их effectivness, но никогда нет гарантии, что они являются эффективными.

Некоторые люди скрывают свои криптографические алгоритмы, но это считают опасной практикой, потому что затем такие алгоритмы не прошли то же исследование. Только организациям как NSA, которое имеет значительный бюджет и коллектив математиков, может сойти с рук этот вид подхода.

Одна из более интересных разработок в последние годы была риском стеганография , который является практикой, скрывает сообщение в изображениях, звуковых файлах или некотором другом носителе. Самая большая проблема в steganalysis определяет, является ли сообщение там или нет, делая эту безопасность через мрак.

В прошлом году я столкнулся с историей, что Исследователи Вычисляют Мощность Канала Steganographic, но действительно интересная вещь об этом:

Изучение stego-канал таким образом приводит к некоторым парадоксальным результатам: например, при определенных обстоятельствах, удваивая количество алгоритмов, ища скрытые данные может увеличить мощность steganographic канала.

, Другими словами, чем больше алгоритмов Вы используете для идентификационных сообщений, тем менее эффективным это становится, который идет вразрез с нормальной критикой безопасности через мрак.

Интересный материал.

15
ответ дан cletus 24 November 2019 в 14:04
поделиться

Безопасность через мрак, как могут говорить, плоха, потому что это часто подразумевает, что мрак используется в качестве основных средств безопасности. Мрак прекрасен, пока он не обнаружен, но после того как кто-то разработал Ваш конкретный мрак, затем Ваша система уязвима снова. Учитывая персистентность взломщиков, это не приравнивается ни к какой безопасности вообще.

Мрак никогда не должен использоваться в качестве альтернативы надлежащим методам безопасности.

Мрак, поскольку средство сокрытия Вашего исходного кода для предотвращения копирования является другим предметом. Я скорее разделяюсь по той теме; я могу понять, почему Вы могли бы хотеть сделать это, лично я никогда не был в ситуации, где она требовалась бы.

34
ответ дан Dave Markle 24 November 2019 в 14:04
поделиться

Все формы доступной безопасности являются на самом деле формами безопасности через мрак. Каждый метод увеличивается в сложности и обеспечивает лучшую безопасность, но они все полагаются на некоторый алгоритм и один или несколько ключей для восстановления зашифрованных данных. "Безопасность через мрак" как большая часть вызова, который это - когда кто-то выбирает один из самых простых и легких для взламывания алгоритмов.

Алгоритмы, такие как символьное смещение легко реализовать и легкий расколоться, вот почему они - плохая идея. Это, вероятно, лучше чем ничего, но это, самое большее, только остановит случайный взгляд на данные из того, чтобы быть легко считанным.

существуют превосходные ресурсы в Интернете, который можно использовать для обучения себя обо всех доступных методах шифрования и их достоинствах и недостатках.

4
ответ дан DMKing 24 November 2019 в 14:04
поделиться
Другие вопросы по тегам:

Похожие вопросы: