얼마 전에는 입력 유효성 검사로 완화할 수 있는 XSS, 준비된 문으로 완화할 수 있는 SQL 인젝션 등 IT 보안에서 해결된 모든 문제에 대해 생각했습니다.
이제 궁금한 것은 2010년 한 해 동안 해결되지 않은 가장 큰 보안 문제는 무엇일까요? 아직 완화할 수 있는 좋은 방법을 알지 못하는 취약점이 있는지 궁금합니다. 해결된 문제에 대한 솔루션을 모든 사람이 사용하도록 하는 방법은 빼고요.
그래서 답변의 대부분은 여기에서 말하는 미해결 문제"사용자"또는 일부 변형,는'm 결론 강의 가장 큰 미해결 문제입*보안 실무자를 믿는 사용자가 적**.
근본적인 원인은 보안 정책 또는 절차가 없는 눈에 보이는 혜택,즉 그것은 사용자의 시간과 노력 없이 사용자가 어떤지 볼 수 있's 을 for them. 이 문제를 해결하는 것이 필요합 infosec 전문성과 유용성 엔지니어링과 사회 과학을 발명하는 새로운 보안 경험 있는 enabling 및 허용할 사용자를 인식해 그들의 이익.
최종 사용자 문제를 실제로 해결할 수는 없습니다. 법적으로나 윤리적으로나 말이죠. 저는 홈 영역 발견 문제에 한 표를 던지고 싶습니다.
편집: 최종 사용자 문제는 이전에 게시된 답변을 참조한 것입니다. 홈 영역 검색은 클레임 기반 인증 모델의 일부로, 여러 서비스/조직 중에서 선택하여 사용자에게 ID를 제공할 수 있으며, OpenID/OpenAuth와 매우 유사합니다. 문제는 사용자에 대해 아직 아무것도 모르기 때문에 어떤 공급자로부터 정보를 가져올지 파악해야 할 때 발생합니다. 즉, 사용자가 누구를 사용하여 신원을 제공하는지 모를 때 사용자를 인증할 공급자를 어떻게 알아낼 수 있을까요?
첫 번째 확실한 답은 하나의 공급자만 사용하는 것이지만, 그렇게 하면 이 모델의 이점이 무효화됩니다.
두 번째 확실한 답은 사용자에게 물어보는 것입니다. 하지만 이는 오픈아이디의 몰락입니다. 대부분의 사람들은 자신의 공급자가 누구인지 모릅니다. 구글과 페이스북에 대해 인증할 수 있지만 어느 것이 호출하는 애플리케이션의 프로필에 연결되어 있는지 모른다면 어떻게 될까요?
이 문제를 OpenID의 나스카 문제라고 부르는데, OpenID 시작 페이지에는 보통 수많은 제공업체 로고가 표시되므로 어떤 제공업체를 사용할지 선택해야 합니다. 사용자 지정 공급업체가 있는 경우 이 문제가 발생합니다.
카드스페이스/정보카드/정보카드를 기억하시나요? 이 문제를 해결하려는 시도입니다. 이론적으로는 꽤 잘 작동합니다. 실제로는 그렇지 않습니다.
인터넷 투표는 집이나 사무실에서 컴퓨터를 위한 높은 말뚝 선거가 꽤 멀리 떨어져의 규모를"의 미해결 문제". 그것은 특히 중요한 유권자들은 해외 및/또는 군대가 더 빠르고,신뢰할 수 있는 방법을 반환하는 유권자 확인 종이 투표(생각하는 잠수함:). 그 후보로서의 가치는X-상에서 DESSEC:디자인 보안 시스템 공학의 경쟁
론 Rivest,"R""RSA",나의 여러 가지 설득력이 회담에서는 2010 년에 UOCAVA 원격 투표 시스템 워크숍입니다. 당신이 볼 수 있는 프레젠테이션"의제와 프레젠테이션"페이지 http://www.nist.gov/itl/csd/ct/uocava_workshop_aug2010.cfm
문제보다 훨씬 더 안전한 전자 상거래 문제 때문에 투표해야 하는 익명으로 판매,투표하는 것을 금지,그리고 시스템은 높은 투명하다. 그것은 또한 포함됩니다:
서를 검토하는 최근의 충돌과 화상의 인터넷 투표 공용에 의해 테스트 컬럼비아 특별구,the워싱턴 포스트는 바로 그것을 가지고.
에서 자세한 내용을 참조하십시오
[면 온라인 상점과 은행할 수 없는 이유가 무엇입니까 온라인 투표? |확 투표를 블로그](http://blog.verifiedvoting.org/2011/11/02/1460 트)-매우 통찰력 후 데이비드 제퍼슨 USACM 문제에 대한 간략한 인터넷에서 투표 및 UOCAVA-http://usacm.acm.org/usacm/PDF/IB_Internet_Voting_UOCAVA.pdf
*https://security.stackexchange.com/questions/5769/secure-internet-polling/5776#5776 (IT 보안 질문)
배포하는 HTTPS 를 올바르게
항상 SSL/TLS 세션 인증 후...의 나머지를 위한 웹 세션이 있습니다.
https://www.eff.org/pages/how-deploy-https-correctly
비슷한 참고할 수 있는 사람을 말해 Google 애드센스/애드워즈를 지원하는 HTTPS?!?! 모든 사이트에 당신을 필요로하는 로그인에 일반적으로 돌아갑 HTTP 기 때문에 그들이't 원하는 사용자가를 얻을 수"혼합된 콘텐츠"경고입니다.
약간 떨어져 주제,하지만 아무도 해결 마지막 라인의 샘은 다다이즘의 맥락에서 나타난 조각 앞에서는 한국어로 지원되지 않습니다.
이메일 발송 검증
많은 솔루션과 제 3 자에게 문제를 해결하기 위해 노력의"았는 사용자 x 실제로 전자 메일 메시지를 보내?"또는 스푸핑?
DMARC,적,센더,그리고 SPF 의 모든 예술된 주소는 문제 또는 다른 하나의 방법으로,하지만 입양을 평가 아't 에 가까운 곳에 그것을 해야 합니다. 또한,I don't 가 있다고 생각하는 완벽한 솔루션을 처리할 때 ListSrv's 에서이 지역 중 하나.
비밀번호와 사람들이 어떻게 그들에 대해 생각한다. 암호해야한 이름이 전달하는 문구다. 너무 많이 계정이 해킹을 당기 때문에 오늘날의 사용자가 암호 정책입니다.
예를 들어 사용자가 추천 암호 less than10characters. 그것을 얻 bruteforced 쉽게 한 번 사이트 hes 에 등록한 납치와 DB 를 배출한다. 불행하게도 그는 또한 사용에 대해 동일한 암호를 자신의 이메일을(당연히?? who doesnt?! 지보!). 이 결과는 그에게 모두 잃고 그의 자격과 기본적 자신의 정체성입니다. 누구나 쉽게 지금 이용자지 않고 그 모르게 그것에 대해 많.
거대한 미해결 문제를 받고 수석(CEO,FD 등)에서 구입과 이해의 정보 보안입니다. 그것을 관리하는 경향이 그것을 이해하는 보안(꽤 많다)하지만 고위 관리 don't. 그들에 초점을 맞추고 있 비즈니스,운영 및 재무 위험도록 번역하는 것은 위험으로 해당하는,따라 상대적으로 영향을 할 수 있도록 논의 수준의 경기장 일관성있는 유일한 방법을 얻을 변경 예산에 대한 후원 및 구현되...반대로 현재의 드라이버에 대한 획기적인 변화에서 정보 보안 일반적으로 응답하여 주요 사고,그렇게 높은 예산에 대한 긴급 짧은 때까지 잠시 동안은 타블로 갈에 다음 목표입니다.
으로까지 나는'm 을 알고 있's no 제 해결 방안을 찾기 위해 최선을 다하 킹이나 된다고 합니다. 후자의 경우,최고의 솔루션은 IP 기반 모니터링하거나 보안 문자는 모든 페이지에서 로드입니다. 도 없는 완벽합니다.