Bezpečnostní rating tohoto typu a přijímaná protiopatření jsou pěkná blbost! Už jenom proto, že hodnoty neznáme, ale pouze odhadujeme a navíc se v ČASE VŠECHNY HODNOTY MĚNÍ!
Například provozuji server s rodinnými alby pár kolegů. Pravděpodobnost útoku je někde mezi 0–5%. Za měsíc později, mi ale můj známý Bill Gates chce vyjádřit podporu tím, že se zaregistruje a nahraje své soukromé fotografie – pravděpodobnost útoku je nyní asi tak 10 000% :-DD
Stejně tak se mění i cílová skupina útočníků – s každým členem, s každým novým uloženým bitem do webové aplikace. Nemůžeme totiž předpokládat KDO a CO tam zrovna uloží, tímpádem nemůžeme pracovat s dost důležitou proměnou, na které závisí celý zbytek všech ostatních předpokladů.
Navíc ani nezáleží na tom, co je tam skutečně uložené, ale co si okolní svět myslí, že je tam uložené – hodnoty ratingu a potencionální rizika se tedy mění hlavně VNĚ webové aplikace.
Rating tedy pracuje s omylem a jeho výsledek nemůže být nikdy jiný než mylný :-)
–
Samozřejmě chápu tu potřebu lidí všechno vyjádřit čísly a nejlépe v bodech nebo ještě lépe v procentech. Ale to se speciálně u bezpečnosti NEDA. Nelze říct nebezpečí útoku je 5%; 65%; 80%… Vždy existují věci, které se nedají numericky zhodnotit.
Ale kdo ví, třeba se jednou dozvím, že podle „musical classic ratingu“ byl Bach skladatel dobrý přesně na 91,685% :-DDD
Názor k článku
Webové aplikace s sebou přinášejí různě závažná rizika
Honza (neregistrovaný)
---.eurotel.cz
29. 7. 2010 2:04
