Posted on 2005-09-13 22:32
laogao 閱讀(457)
評(píng)論(0) 編輯 收藏 所屬分類:
Computer Usage
在Slashdot上面看到這個(gè)鏈接,很有意思:
http://www.ranum.com/security/computer_security/editorials/dumb/簡(jiǎn)單用中文轉(zhuǎn)述一下,感興趣的請(qǐng)看原文。
作者認(rèn)為在計(jì)算機(jī)安全領(lǐng)域有很多我們常識(shí)性的錯(cuò)誤的理解和觀點(diǎn),最嚴(yán)重的6條分別是:
1- 默認(rèn)允許 - 很多東西在我們的系統(tǒng)中都是默認(rèn)允許的,如程序、端口等,有必要嗎?
2- 枚舉不好的東西 - 如果我們只需要關(guān)心那些東西是我們真正需要的,豈不是比列出那些我們不需要的來得更方便?(我們真的需要和黑客們搞“軍備競(jìng)賽”?)
3- 滲透然后打補(bǔ)丁- 很多軟件廠商都是找人來測(cè)試系統(tǒng)安全漏洞,然后爭(zhēng)取在黑客利用它們之前發(fā)布給客戶讓客戶去打補(bǔ)丁,這樣真的是一個(gè)好辦法嗎?(作者舉的例子是IE)
4- 黑客很酷 - 很多媒體都有意無意在美化一些不好的事物和行為,比如黑客。
5- 培訓(xùn)/教育用戶 - 為什么我們要教育用戶不要這樣不要那樣,有這個(gè)必要嗎?很多簡(jiǎn)單的道理和使用習(xí)慣往往是你無法預(yù)知和阻止用戶去做的,除非你從源頭上杜絕用戶作出這種選擇的可能。
6- 為好過無為 - 這就跟中國的道家思想有關(guān)了,在我們準(zhǔn)備要開始安裝和使用一個(gè)新的軟件或工具時(shí),我們最好停下來先想一想,觀察觀察。
作者還總結(jié)了一些相對(duì)不那么嚴(yán)重的錯(cuò)誤觀點(diǎn),如:
- 我們不會(huì)是攻擊對(duì)象
- 如果大家都隨時(shí)打補(bǔ)丁所有人就安全了
- 我們不需要防火墻因?yàn)槲覀冇泻芎玫闹鳈C(jī)安全機(jī)制
- 我們不需要主機(jī)安全機(jī)制因?yàn)槲覀冇泻芎玫姆阑饓?BR>- 我們先用起來,稍后再處理安全性問題
- 我們無法阻止偶然發(fā)生的問題
最后這一點(diǎn)很逗,作者舉的例子是如果你認(rèn)為航空業(yè)用這種方式來對(duì)待你的生命時(shí),你還會(huì)乘坐商業(yè)航空公司的飛機(jī)嗎?