Questo è un problema difficile poiché ha un nemico potente: la natura umana. È fiducia nella natura umana e l'esperienza quotidiana dimostra che la fiducia funziona. Puoi visitare migliaia di siti web senza problemi. Poi un giorno i server della tua console di gioco preferita vengono violati e la tua identità digitale è in pericolo. Ci sono circa un miliardo di persone online ma anche un attacco come quello di Sony ha ottenuto solo 70 milioni di loro. E gli attacchi su scala Sony sono rari.
Anche se la maggior parte delle aziende non considera seria la sicurezza. Se analizzi le violazioni della sicurezza negli ultimi anni, anche le aziende specializzate nella sicurezza informatica sono state colpite alla fine.
Quindi abbiamo una grande lacuna qui: la sicurezza dovrebbe essere importante ma non è così importante nella vita di tutti i giorni. Puoi avere un sito web insicuro online da anni senza essere colpito o puoi cliccare su un link e infettarti con un exploit zero-day che nessuno avrebbe potuto prevenire.
Quindi penso che persuadere la persona media sulla sicurezza sia l'approccio sbagliato. Proprio come nella vita reale, la sicurezza non dovrebbe essere un problema. Nessuna persona sana di mente indossa una giacca floccata prima di lasciare la casa nell'emisfero nord (beh, si ottiene la mia deriva). La sicurezza deve "funzionare" o non è sicurezza.
Non funziona perché i computer non sono abbastanza intelligenti e potenti. Il mio IDE è abbastanza potente da generare 1,5 milioni di righe di codice Java in meno di 4 secondi, ma è troppo stupido per dirmi che <input value="<%= dbField%>">
o "select * from table where name = '" + userInput + "'"
è pericoloso.
I linguaggi di programmazione di oggi offrono funzionalità killer come lo stile CSS dell'interfaccia utente, ma finora nessuno si è preoccupato di creare un framework che rendesse più semplice scrivere codice sicuro invece di uno sicuro. Se inizi a scrivere applicazioni RCP Eclipse, circa 100 MB di codice byte Java vengono aggiunti all'applicazione e nessuno al mondo può dire quanti buchi di sicurezza questo codice potrebbe avere.
Se un firewall riceve un pacchetto, il più delle volte, non c'è modo di sapere da dove viene realmente e se contiene ciò che dovrebbe. È più importante instradare un pacchetto in tutto il mondo in meno di 3ns che assicurarsi che venga inviata un'email dal mittente.
IMO, a meno che questi problemi non siano risolti, è inutile educare John Doe alla sicurezza. Dovremmo iniziare a istruire gli specialisti, in primo luogo. Dopodiché, John Doe non dovrà più preoccuparsene.
[EDIT] Ho appena letto che alcune app Android trasmettano l'AuthToken per il protocollo ClientLogin di Google non crittografato . Ciò significa che chiunque può accedere a tutte le API di Google in cui hai un account: GMail, calendario, contatti, foto private su Picasa, il tuo blog su blogger.com.
Quindi, se Google non ottiene qualcosa di così fondamentale, che senso ha persuadere John Doe che la sicurezza è importante? : - (