Общие вопросы информационной безопасности
8
Записи
2
Пользователи
1
Likes
386
Просмотры
4760
Создатель темы 24/11/2023 3:00 пп
Да, некоторые идеи, связанные с обеспечением кибербезопасности, могут выглядеть весьма сомнительно. Воплощение этих спорных идей наталкивает обывателя на мысль о том, что что-то здесь не то, а иногда просто выбешивает. Я уже начинал эту тему на старой версии форума и она успешно почила вместе с ним. О чем я там писал уже не помню, но жизнь постоянно подкидывает новые идеи и решения, из которых можно заключить, что кибербезопасность порой занимается какой-то фигней.
Парад очередных "сомнительных решений" предлагаю продолжить в этой ветке форума.
Например, меня достают всплывающие куки-уведомления на сайтах.
С момента принятия Европарламентом Директивы 2009/136/ЕС, известной как Закон о файлах cookie, все законопослушные сайты в интернете (не только европейские, но все остальные) украсились всплывающими окнами с уведомлениями об использовании файлов куки.
Надо ли объяснять почему это дебильное решение? Надо ли объяснять почему вообще всплывающие окна - это неудачная практика взаимодействия с сайтом? Может быть куки представляют собой главную угрозу для пользователя, настолько серьезную, что при открытии любого сайта необходимо прочитывать сплывающие предупреждения, многостраничную политику использования куки и подтверждать свое согласие на это опасное действие? Может быть использование куки не является общей практикой? Может быть у пользователя нет возможности в браузере посмотреть какие куки его браузер сохраняет и очистить кэш?
В случае утвердительного ответа на любой из этих вопросов, я снимаю шляпу перед Европарламентом. В этом случае могу предложить законодателям новые инициативы по повышению кибербезопасности и осведомленности. Например, при заходе на любой сайт можно выводить следующие всплывающие окна и не давать пользователю работать, пока он не подтвердит принятие столь полезной информации:
1. всплывающее уведомление о необходимости обновления браузера
2. всплывающее уведомление о том, что на сайте используются не самые последние версии ОС, СУБД, CMS, трансляторов и т.п., что может потенциально повлечь компрометацию сайта злоумышленниками и, как следствие, привести к компрометации компьютера пользователя
3. всплывающая каптча с многоэтапным проверками, с выбором картинок, текстов и прочими головоломками, ориентированными на противодействие ботам
4. всплывающее подтверждение возраста пользователя с отгадыванием загадок и тестом на IQ, а также сексуальной ориентации, вероисповедания и политических взглядов, чтобы не нанести пользователю моральный вред
5. всплывающее уведомление о том, что все взаимодействие пользователя с сайтом может регистрироваться владельцем сайта, интернет провайдером, хакерами, компетентными органами и другими заинтересованными лицами
и т.д.
Часть этих идей уже реализована, так что авторство не мое и не надо потом меня обвинять.
4760
Создатель темы 19/12/2023 4:27 пп
К столь же сомнительным решениям ИБ можно отнести любые меры, затрудняющие пользователям возможность работать с информационными системами.
Продолжая тематику веб-сайтов, стоит упомянуть замудренные капчи с отгадыванием количества велосипедов на нечетких фотографиях и прочих ребусов, которые умные боты, подкрепленные ресурсами искусственного интеллекта, нейросетей и кликательных ферм успешно обходят, а для нормального человека это превращается в пытку.
Сюда же отнесем и облачные проксирующие сервисы защиты веб-сайтов от DDoS и различных видов атак, аля CloudFlare. Когда при попытке получить доступ к сайту ты вместо сайта видишь сообщение о проверке безопасности, а потом еще бывает, что надо кликнуть на по чек-боксу "я не робот". Можно понять соблазн возложить заботы о защите своего сайта на профессиональные сервисы. Однако не стоит забывать об упрямой статистике, которая свидетельствует о том, что при задержке открытия сайта на 3 секунды, сайт теряет 50% посетителей. Достойная плата за безопасность, которую вы еще к тому же и не контролируете?
4760
Создатель темы 19/12/2023 4:41 пп
Еще меня всегда умиляет идея с приравниванием электронных подписей к собственноручным. Это очень практично, если не учитывать того, что собственноручная подпись у тебя одна и ты ее не можешь никому передать, а электронных подписей может быть сколько угодно и для каждого ресурса своя подпись, которая действует, как правило, один год, а ключи твоих подписей где только не хранятся и кто только за тебя ими не расписывается. И каждый год для каждого сайта, банка, электронного сервиса, а также для каждого юр. лица надо отдельно приобретать в удостоверяющих центрах эти подписи непонятно зачем. Хотя ты всего один и собственноручная подпись у тебя одна и она как то возникла у тебя сама собой, принадлежит только тебе одному и ничего тебе не стоит.
Другими словами, приравнять электронную подпись к собственноручной, это все равно, что приравнять жопу к пальцу и считать, что с практической и юридической точки зрения между ними нет никакой разницы, т.к. одно не дополняет, а заменяет другое.
140
19/12/2023 5:31 пп
А я никогда не понимал идею доверенной загрузки, т. е. загрузки ОС только со встроенного накопителя после завершения специальных проверочных процедур с использованием аппаратных модулей (МДЗ). Что это даёт и кому надо? Эта мер ИБ выглядит как атавизм из прошлого века.
4760
Создатель темы 19/12/2023 5:41 пп
Согласен. Мера дорогая. Реализация доверенной загрузки - дело хлопотное. При этом от какого нарушителя эта мера защищает непонятно. Если у него есть физический доступ к устройству, то он сможет добраться и до информации, которая там содержится, если только она не зашифрована. Но причем здесь доверенная загрузка? Не пофиг ли какую ОС загрузить на устройство? А шифровать диск надо обязательно.
4760
Создатель темы 19/12/2023 6:22 пп
Всплывающее сообщение на пол экрана на большинстве сайтов:
"Данный веб-сайт сохраняет файлы cookie на ваш компьютер. Эти файлы cookie используются для сбора информации о характере вашего взаимодействия с нашим веб-сайтом. Они также позволяют запомнить вас на сайте. Мы используем эту информацию для улучшения и специальной настройки вашей навигации по сайту, а также с целью анализа и сбора показателей о наших посетителях на этом веб-сайте и в других средах. Чтобы узнать больше о том, какие файлы cookie мы используем, ознакомьтесь с нашей Политикой конфиденциальности"
И некому ответить: "Да мне пофиг, что вы там сохраняете в ваших файлах куки. И всем людям на этой планете это пофиг. Почему бы вам мне еще на рассказать как работает HTTP протокол и чем там мой браузер обменивается с веб-сервером? А политика ваша конфиденциальности, на которую вы ссылаетесь, - туфта полная, бессмысленный текст, тиражируемый с одного сайта на другой. Вот такие вот меры безопасности, ничего кроме раздражения не вызывающие. Еще можете вывесить объявление 18+. Хотя мне это пофиг. Да и всем людям на этой планете это пофиг. Но закон есть закон".
4760
Создатель темы 28/12/2023 11:11 пп
В этой рубрике нельзя не упомянуть чудесные антиспам фильтры, благодаря которым электронная почта превратилась в крайне ненадёжное средство коммуникаций.
140
28/12/2023 11:21 пп
Ещё вызывает умиление организация управления доступом в ряде прикладных систем, например 1С, SAP и подобные им. Разобраться в реальном положении дел - нереально.
Бывалый reacted
