Récemment, j'ai pensé à tous les problèmes résolus en matière de sécurité informatique, comme le XSS (que l'on peut atténuer par la validation des entrées), l'injection SQL (atténuée par les instructions préparées), etc.
Maintenant, je me demande quels sont les plus gros problèmes de sécurité non résolus de l'année 2010. Je me demande s'il existe des vulnérabilités pour lesquelles nous ne connaissons pas encore de bon moyen de les atténuer. Sauf comment faire en sorte que tout le monde utilise les solutions aux problèmes résolus.
Ingénierie sociale de loin.
Les humains resteront longtemps vulnérables à l'ingénierie sociale et comme le dit le dicton, "La sécurité n'est bonne que si elle est assurée par le maillon le plus faible".
Il y a tellement de réponses qui disent que le problème non résolu est "l'utilisateur" ou une variante, que je suis obligé de conclure que le plus gros problème non résolu est celui des professionnels de la sécurité qui croient que l'utilisateur est l'ennemi.
La cause sous-jacente est une politique ou une procédure de sécurité qui n'a aucun avantage visible, c'est-à-dire qu'elle prend du temps et des efforts aux utilisateurs sans que ceux-ci puissent voir ce qu'elle fait pour eux. Pour résoudre ce problème, il faudra combiner l'expertise en matière de science de l'information avec l'ingénierie de la convivialité et les sciences sociales afin d'inventer de nouvelles expériences de sécurité qui soient prometteuses et permettent aux utilisateurs de percevoir leur avantage.
Vous ne pouvez pas vraiment résoudre le problème de l'utilisateur final. Enfin, légalement ou éthiquement en tout cas. Mon vote va au problème de la découverte du Home Realm.
ÉDITER : Le problème de l'utilisateur final se référait à des réponses déjà postées. La découverte de l'espace domestique fait partie d'un modèle d'authentification basé sur les revendications, où vous pouvez choisir entre plusieurs services/organisations pour fournir une identité à un utilisateur, un peu comme OpenID/OpenAuth. Le problème se pose lorsque vous devez déterminer le fournisseur auprès duquel vous souhaitez obtenir des informations, car vous ne savez encore rien de l'utilisateur. C'est une question de poulet/œuf : comment savoir qui doit authentifier l'utilisateur quand on ne sait pas qui l'utilisateur utilise pour fournir son identité.
La première réponse évidente est de n'utiliser qu'un seul fournisseur, mais cela annule en quelque sorte l'avantage du modèle.
La deuxième réponse évidente est de demander à l'utilisateur. Cependant, c'est la chute de l'openID. La plupart des gens n'ont aucune idée de l'identité de leur fournisseur. Et que se passe-t-il lorsque vous pouvez vous authentifier sur Google et Facebook, mais que vous ne savez pas lequel est lié au profil de l'application appelante ?
C'est ce que l'on appelle affectueusement le problème du NASCAR avec OpenID : la page de lancement d'OpenID comporte généralement un bajillion de logos pour les fournisseurs, vous devez donc sélectionner le fournisseur à utiliser. Ce qui casse lorsque vous avez un fournisseur personnalisé.
Vous vous souvenez de CardSpace/InfoCard/Cartes d'information ? Cela tente de résoudre le problème. En fait, cela fonctionne assez bien en théorie. Pratiquement pas.
Sécurité des smartphones
Il existe un grand nombre de smartphones qui sont la cible de virus et de fuites d'informations d'entreprise. Il est difficile de trouver un moyen uniforme de remédier à ces vulnérabilités de sécurité tout en offrant un environnement utilisateur flexible.
Actuellement, j'étudie la possibilité d'utiliser Goodlink pour assurer la sécurité du courrier électronique sur plusieurs appareils. Veuillez me faire part de vos commentaires si vous avez connaissance d'autres éléments