Sfondo:
WorkerB e Tymac stavano discutendo i vantaggi e gli svantaggi dell'utilizzo di due diverse alternative per l'estensione di un sistema di gestione dei contenuti Web utilizzato nella loro azienda.
-
Quello alternativo consente a uno sviluppatore di estendere il CMS utilizzando file PHP di origine locale conformi all'API del CMS.
-
Alternativa due consente a uno sviluppatore di estendere il CMS utilizzando uno strumento di configurazione basato su WebGUI che genera query SQL personalizzate, senza richiedere allo sviluppatore di codificare qualsiasi PHP .
Problema:
WorkerB ha riflettuto sul fatto che due alternative potrebbero essere generalmente "più sicure", perché gli strumenti di web-gui sono forniti dal fornitore del CMS ed è stato esaminato estensivamente dai creatori del CMS.
Tymac ha riflettuto sul fatto che un'alternativa potrebbe essere generalmente "più sicura", perché i file PHP locali possono essere inseriti in un repository git e ogni cambiamento viene monitorato e rivisto da più persone, come beh essere controllati da strumenti come PHP_CodeSniffer.
Opinione di parere esterno:
Un outsider è arrivato e ha ulteriormente confuso la discussione, affermando che l'approccio né è intrinsecamente "più sicuro" perché sono entrambe le interfacce di programmazione di Turing Complete, si usa solo la WebGUI e l'altra solo usa i tradizionali file di testo con codice PHP.
L'outsider suggerisce inoltre che chiedere quale approccio sia "più sicuro" va bene se si vuole solo fare la differenziazione o il marketing del prodotto, ma dal punto di vista della sicurezza, la discussione manca di sostanza a meno che non si parli in termini di vulnerabilità specifiche e exploit .
Domande:
-
1) Esiste un modo non arbitrario e sistematico di confrontare la sicurezza dei due approcci proposti da Tymac e WorkerB?
-
2) Se la risposta a 1) sopra è "no", come si può capire di cosa sta parlando l'estraneo, con il punto su "Completezza di Turing" e conclusioni di marketing e sostanziali sulla sicurezza?
-
3) La sicurezza è un problema pulsante che può spaventare le persone e la paura può essere un potente motivatore. Utilizzando l'esempio precedente come modello, come è possibile comprendere i problemi sottostanti e formulare raccomandazioni per la gestione, riducendo al minimo il fattore FUD?