Un amico mi ha detto che nel paradigma agile si dice che gli utenti sono autorizzati per impostazione predefinita a fare qualsiasi cosa, ma poi sono bloccati o non autorizzati ad accedere o fare determinate azioni identificate. Solo il contrario del minimo / minimo privilegio.
Questo è un paradigma completamente diverso in cui per una nuova applicazione si identifica ciò che gli utenti generici non possono fare e implementare tale sicurezza, non il contrario.
Il risultato potrebbe essere lo stesso: tutti accedono a ciò che è autorizzato ad accedere, ma l'implementazione è completamente diversa.
In quali scenari è accettabile questo approccio? Potrebbe essere sicuro?