就在最近,我想到了IT安全中所有已解决的问题,比如XSS(可以用输入验证来缓解),SQL注入(用准备好的语句来缓解),等等。
现在我在想,2010年最大的未解决的安全问题是什么?我在想,是否有漏洞存在,而我们还不知道有什么好办法来缓解它们。除了我们如何能让每个人都使用已解决的问题的解决方案。
迄今为止,社会工程。
在未来很长一段时间内,人类仍然容易受到社会工程的影响,正如俗话说的那样,"安全只有最薄弱的环节才是好的"。
你无法真正解决终端用户的问题。 好吧,无论如何在法律上或道德上。 我把票投给了家庭领域的发现问题。
EDIT: 终端用户的问题是指以前发布的答案。 家庭领域发现是基于索赔的认证模式的一部分,你可以在多个服务/组织之间选择,为用户提供一个身份,很像OpenID/OpenAuth。 当你需要弄清楚从哪个提供者那里获得信息时,问题就出现了,因为你还不了解用户的任何情况。 这是一个鸡生蛋蛋生鸡的问题:当你不知道用户用谁来提供他们的身份时,你怎么知道谁来认证用户。
第一个明显的答案是只使用一个提供者,但这有点否定了这个模型的好处。
第二个明显的答案是询问用户。 然而,这也是openID的弊端。 大多数人不知道他们的提供者是谁。 当你可以对Google和Facebook进行认证,但你不知道哪一个是与调用应用程序的配置文件相联系的,会发生什么?
这被亲切地称为OpenID的纳斯卡问题--OpenID的启动页面通常有无数个提供者的标志,所以你需要选择使用哪个提供者。 当你有一个自定义的提供者时,这就破坏了。
还记得CardSpace/InfoCard/Information Cards吗? 那是试图解决这个问题的。 它实际上在理论上做得很好。 实际上却不多。
智能手机安全
有很多智能手机都是病毒和泄露企业信息的目标。 要找到一种统一的方法来解决这些安全漏洞,并且还能提供一个灵活的用户环境是很难的。
目前我正在寻找Goodlink来提供跨多个设备的电子邮件安全。 如果你还知道什么,请评论