È a mia conoscenza che un'opportunità di indurimento mancata è meno importante da correggere di un difetto di sicurezza, ma quali criteri si usano per decidere cosa classificare qualcosa che non va in un sistema sicuro?
È a mia conoscenza che un'opportunità di indurimento mancata è meno importante da correggere di un difetto di sicurezza, ma quali criteri si usano per decidere cosa classificare qualcosa che non va in un sistema sicuro?
È sempre rischio che definisce tali criteri.
Qual è la probabilità che il problema venga sfruttato, quali sono le attenuazioni in atto per prevenire o limitare l'impatto e quali sono gli impatti di uno sfruttamento di successo?
Una volta definiti, puoi classificare cosa c'è di sbagliato in un sistema e ordinarli in ordine o priorità, indipendentemente dal tipo di problema (indurimento, 0 giorni, patch, difetti, ecc.).
Non è possibile tracciare una linea nella sabbia in cui è possibile determinare in modo preciso da che parte si trova, ma spesso sarà ovvio. Ad esempio, supponi di vivere con tua madre e non vuoi che trovi la tua scorta di erba:
Ma a volte non è così ovvio:
Ma la memorizzazione delle password utente in testo semplice è veramente un difetto di sicurezza ? Penso che si possa facilmente sostenere che non lo è, se il tuo server DB è ben protetto.
Leggi altre domande sui tag hardening