Инфобезопасный дискуссионный клуб

Поделиться:
Уведомления
Очистить все

Сомнительные решения, компрометирующие идею кибербезопасности

8 Записи
2 Пользователи
1 Likes
290 Просмотры
(@admin)
Участник Admin
467
Присоединился: 9 месяцев назад
Записи: 63
Создатель темы  

Да, некоторые идеи, связанные с обеспечением кибербезопасности, могут выглядеть весьма сомнительно. Воплощение этих спорных идей наталкивает обывателя на мысль о том, что что-то здесь не то, а иногда просто выбешивает. Я уже начинал эту тему на старой версии форума и она успешно почила вместе с ним. О чем я там писал уже не помню, но жизнь постоянно подкидывает новые идеи и решения, из которых можно заключить, что кибербезопасность порой занимается какой-то фигней.

Парад очередных "сомнительных решений" предлагаю продолжить в этой ветке форума.

Например, меня достают всплывающие куки-уведомления на сайтах.

С момента принятия Европарламентом Директивы 2009/136/ЕС, известной как Закон о файлах cookie, все законопослушные сайты в интернете (не только европейские, но все остальные) украсились всплывающими окнами с уведомлениями об использовании файлов куки.

Надо ли объяснять почему это дебильное решение? Надо ли объяснять почему вообще всплывающие окна - это неудачная практика взаимодействия с сайтом? Может быть куки представляют собой главную угрозу для пользователя, настолько серьезную, что при открытии любого сайта необходимо прочитывать сплывающие предупреждения, многостраничную политику использования куки и подтверждать свое согласие на это опасное действие? Может быть использование куки не является общей практикой? Может быть у пользователя нет возможности в браузере посмотреть какие куки его браузер сохраняет и очистить кэш?

В случае утвердительного ответа на любой из этих вопросов, я снимаю шляпу перед Европарламентом. В этом случае могу предложить законодателям новые инициативы по повышению кибербезопасности и осведомленности. Например, при заходе на любой сайт можно выводить следующие всплывающие окна и не давать пользователю работать, пока он не подтвердит принятие столь полезной информации:

1. всплывающее уведомление о необходимости обновления браузера

2. всплывающее уведомление о том, что на сайте используются не самые последние версии ОС, СУБД, CMS, трансляторов и т.п., что может потенциально повлечь компрометацию сайта злоумышленниками и, как следствие, привести к компрометации компьютера пользователя

3. всплывающая каптча с многоэтапным проверками, с выбором картинок, текстов и прочими головоломками, ориентированными на противодействие ботам

4. всплывающее подтверждение возраста пользователя с отгадыванием загадок и тестом на IQ, а также сексуальной ориентации, вероисповедания и политических взглядов, чтобы не нанести пользователю моральный вред

5. всплывающее уведомление о том, что все взаимодействие пользователя с сайтом может регистрироваться владельцем сайта, интернет провайдером, хакерами, компетентными органами и другими заинтересованными лицами

и т.д.

Часть этих идей уже реализована, так что авторство не мое и не надо потом меня обвинять.


   
Цитата
(@admin)
Участник Admin
467
Присоединился: 9 месяцев назад
Записи: 63
Создатель темы  

К столь же сомнительным решениям ИБ можно отнести любые меры, затрудняющие пользователям возможность работать с информационными системами.

Продолжая тематику веб-сайтов, стоит упомянуть замудренные капчи с отгадыванием количества велосипедов на нечетких фотографиях и прочих ребусов, которые умные боты, подкрепленные ресурсами искусственного интеллекта, нейросетей и кликательных ферм успешно обходят, а для нормального человека это превращается в пытку.

Сюда же отнесем и облачные проксирующие сервисы защиты веб-сайтов от DDoS и различных видов атак, аля CloudFlare. Когда при попытке получить доступ к сайту ты вместо сайта видишь сообщение о проверке безопасности, а потом еще бывает, что надо кликнуть на по чек-боксу "я не робот". Можно понять соблазн возложить заботы о защите своего сайта на профессиональные сервисы. Однако не стоит забывать об упрямой статистике, которая свидетельствует о том, что при задержке открытия сайта на 3 секунды, сайт теряет 50% посетителей. Достойная плата за безопасность, которую вы еще к тому же и не контролируете?


   
ОтветитьЦитата
(@admin)
Участник Admin
467
Присоединился: 9 месяцев назад
Записи: 63
Создатель темы  

Еще меня всегда умиляет идея с приравниванием электронных подписей к собственноручным. Это очень практично, если не учитывать того, что собственноручная подпись у тебя одна и ты ее не можешь никому передать, а электронных подписей может быть сколько угодно и для каждого ресурса своя подпись, которая действует, как правило, один год, а ключи твоих подписей где только не хранятся и кто только за тебя ими не расписывается. И каждый год для каждого сайта, банка, электронного сервиса, а также для каждого юр. лица надо отдельно приобретать в удостоверяющих центрах эти подписи непонятно зачем. Хотя ты всего один и собственноручная подпись у тебя одна и она как то возникла у тебя сама собой, принадлежит только тебе одному и ничего тебе не стоит.

Другими словами, приравнять электронную подпись к собственноручной, это все равно, что приравнять жопу к пальцу и считать, что с практической и юридической точки зрения между ними нет никакой разницы, т.к. одно не дополняет, а заменяет другое.


   
ОтветитьЦитата
(@testuser)
Active Member
21
Присоединился: 8 месяцев назад
Записи: 6
 

А я никогда не понимал идею доверенной загрузки, т. е. загрузки ОС только со встроенного накопителя после завершения специальных проверочных процедур с использованием аппаратных модулей (МДЗ). Что это даёт и кому надо? Эта мер ИБ выглядит как атавизм из прошлого века.


   
ОтветитьЦитата
(@admin)
Участник Admin
467
Присоединился: 9 месяцев назад
Записи: 63
Создатель темы  

@testuser

Согласен. Мера дорогая. Реализация доверенной загрузки - дело хлопотное. При этом от какого нарушителя эта мера защищает непонятно. Если у него есть физический доступ к устройству, то он сможет добраться и до информации, которая там содержится, если только она не зашифрована. Но причем здесь доверенная загрузка? Не пофиг ли какую ОС загрузить на устройство? А шифровать диск надо обязательно.


   
ОтветитьЦитата
(@admin)
Участник Admin
467
Присоединился: 9 месяцев назад
Записи: 63
Создатель темы  

Всплывающее сообщение на пол экрана на большинстве сайтов:

"Данный веб-сайт сохраняет файлы cookie на ваш компьютер. Эти файлы cookie используются для сбора информации о характере вашего взаимодействия с нашим веб-сайтом. Они также позволяют запомнить вас на сайте. Мы используем эту информацию для улучшения и специальной настройки вашей навигации по сайту, а также с целью анализа и сбора показателей о наших посетителях на этом веб-сайте и в других средах. Чтобы узнать больше о том, какие файлы cookie мы используем, ознакомьтесь с нашей Политикой конфиденциальности"

И некому ответить: "Да мне пофиг, что вы там сохраняете в ваших файлах куки. И всем людям на этой планете это пофиг. Почему бы вам мне еще на рассказать как работает HTTP протокол и чем там мой браузер обменивается с веб-сервером? А политика ваша конфиденциальности, на которую вы ссылаетесь, - туфта полная, бессмысленный текст, тиражируемый с одного сайта на другой. Вот такие вот меры безопасности, ничего кроме раздражения не вызывающие. Еще можете вывесить объявление 18+. Хотя мне это пофиг. Да и всем людям на этой планете это пофиг. Но закон есть закон".

 

Это сообщение было изменено 2 месяца назад 2 раз от Бывалый

   
ОтветитьЦитата
(@admin)
Участник Admin
467
Присоединился: 9 месяцев назад
Записи: 63
Создатель темы  

В этой рубрике нельзя не упомянуть чудесные антиспам фильтры, благодаря которым электронная почта превратилась в крайне ненадёжное средство коммуникаций.

Это сообщение было изменено 2 месяца назад от Бывалый

   
ОтветитьЦитата
(@testuser)
Active Member
21
Присоединился: 8 месяцев назад
Записи: 6
 

Ещё вызывает умиление  организация управления доступом в ряде прикладных систем, например 1С, SAP и подобные им. Разобраться в реальном положении дел - нереально.


   
ОтветитьЦитата
Поделиться: