È accettabile "consentito per impostazione predefinita, non consentito per dati / azioni specifici"?

0

Un amico mi ha detto che nel paradigma agile si dice che gli utenti sono autorizzati per impostazione predefinita a fare qualsiasi cosa, ma poi sono bloccati o non autorizzati ad accedere o fare determinate azioni identificate. Solo il contrario del minimo / minimo privilegio.

Questo è un paradigma completamente diverso in cui per una nuova applicazione si identifica ciò che gli utenti generici non possono fare e implementare tale sicurezza, non il contrario.

Il risultato potrebbe essere lo stesso: tutti accedono a ciò che è autorizzato ad accedere, ma l'implementazione è completamente diversa.

In quali scenari è accettabile questo approccio? Potrebbe essere sicuro?

    
posta Forced Port 05.07.2018 - 12:16
fonte

2 risposte

3

That is a complete different paradigm where for a new application you identify what generic users cannot do and implement that security, not the contrary.

Anche questo sembra un paradigma orribile e insicuro! Che enorme peso di progettazione e sviluppo!

Il paradigma sicuro consiste nel bloccare tutti da tutto all'inizio, quindi aggiungere i privilegi di cui hanno bisogno. Si chiama Sicurezza e Privacy per design e impostazioni predefinite .

Se non sai a cosa l'utente deve accedere quando stai creando qualcosa, allora sicuramente, devi dare agli utenti l'accesso a tutto e impedirgli di scoprire che non vuoi che abbiano accesso a . È un metodo sicuro?

Um, no.

Negli ultimi anni, gli sviluppatori non hanno dimostrato di essere affidabili nello sviluppo della sicurezza con quel paradigma. Ecco perché regolamenti , framework di progettazione e la pratica migliore dice di non farlo.

Potresti ottenere un risultato sicuro bloccando le restrizioni dopo il fatto? Sicuro. Puoi farlo in modo coerente e affidabile nel tempo? La storia dice "no".

    
risposta data 05.07.2018 - 21:16
fonte
1

dovremmo scegliere la soluzione di sforzo amministrativo minima per le nostre esigenze, in base al rischio rappresentato dalle soluzioni.

A volte la lista nera è una scelta corretta (ciò che chiamate è permesso per default) come se dovessimo fare una lista bianca, l'universo sarebbe troppo e troppo grande per essere controllato. Questo è il motivo per cui definiamo allora cos'è il rischio critico e implementiamo le liste nere. Tutto il resto cade nel rischio accettabile.

Il privilegio minimo è più facile in molte situazioni in cui il lavoro dell'utente è controllato e l'universo di cui ha bisogno per svolgere il proprio lavoro è limitato. Gli sviluppatori tendono a richiedere di testare molte cose con più opzioni, quindi in quelle situazioni che dipendono da ciò che abbiamo bisogno di difendere la lista nera potrebbe essere più appropriato e fornire il minor impatto possibile sul lavoro degli sviluppatori.

    
risposta data 05.07.2018 - 12:59
fonte

Leggi altre domande sui tag