Esiste un nome per questo modo di pensare difettoso sulla sicurezza? [chiuso]

-1

Recentemente ho incontrato uno sviluppatore che pensa di poter implementare la sicurezza sul client di un'applicazione web. Rompere la sicurezza è banale come leggere poche righe di Javascript e cambiare un URL.

In altre parole, la "sicurezza" dell'applicazione è interamente una facciata. So che la vulnerabilità in questione è una forma di parametri di input non controllati, ma c'è qualcosa di più profondo qui, dal momento che allo sviluppatore in questione è stato detto di creare un livello di sicurezza che non può essere manomesso e invece ha creato qualcosa che è solo un'interfaccia utente che sembra come se fosse sicuro.

Mi viene in mente che sarebbe utile avere un termine per questo. Abbiamo già "sicurezza attraverso l'oscurità" e "teatro della sicurezza" per descrivere altri comportamenti che le persone si impegnano a pensare sono la sicurezza. C'è ancora un termine per questo? La facciata di sicurezza è la migliore che riesco a trovare.

    
posta Steve Sether 17.11.2015 - 20:48
fonte

5 risposte

9

Che cos'è: Security Theater ?

Security theater is the practice of investing in countermeasures intended to provide the feeling of improved security while doing little or nothing to actually achieve it. Some experts such as Edward Felten have described the airport security repercussions due to the September 11 attacks as security theater.

While it may seem that security theater must always cause loss, it may actually be beneficial, at least in a localized situation. This is because perception of security is sometimes more important than security itself. If the potential victims of an attack feel more protected and safer as a result of the measures, then they may carry on activities they would have otherwise avoided. In addition, if the security measures in place appear effective, potential attackers may be dissuaded from proceeding or may direct their attention to a target perceived as less secure. Unsophisticated adversaries in particular may be frightened by superficial impressions of security (such as seeing multiple people in uniform or observing cameras) and not even attempt to find weaknesses or determine effect.

Mettere un sacco di convalida sul lato client è simile a quello. La maggior parte delle persone penserà che il sito sia sicuro quando in realtà non lo è. Se non ti interessa davvero della sicurezza e vuoi solo dissuadere gli aggressori pigri, potrebbe non essere una cattiva idea.

    
risposta data 17.11.2015 - 21:16
fonte
1

Accesso ai dati non autorizzato al server

Ti suggerisco di pensare a questo problema al contrario. La vulnerabilità è sul server e, pertanto, dovresti chiamare come lo vedi.

Obfuscation è un tipo di Security Through Obscurity ; non c'è niente di intrinsecamente sbagliato in questo, a meno che tu non lo creda più sicuro di quanto sia realmente (come il tuo collega). I controlli di convalida lato client sono anche raccomandati in quanto migliorano la reattività e riducono l'impatto sul server, anche se affidarsi esclusivamente a loro è insicuro. Il difetto non è con il client, ma con il server. Non nominare "fallimento" lato client, poiché non ce n'è uno. Invece, assegna un nome al fallimento del server che è un assegno di verifica dei dati mancante (che si tratti di un controllo di confine o di un controllo di accesso).

In questo caso, il difetto è il controllo mancante, che sai che puoi esporre creando il tuo mini JS hack da un browser web. Nel momento in cui lo dimostri in teoria o in realtà, il tuo team capirà cosa intendi quando li punti alla falla di sicurezza nel server.

    
risposta data 17.11.2015 - 23:57
fonte
1

Tutti questi termini hanno un sacco di gioco nelle articolazioni, ovviamente. Ma penso di essere tendenzialmente d'accordo con la domanda dell'autore qui: esiterei un po 'a usare le etichette "security theatre" o "security by obscurity" re. la situazione che l'OP offre. Il "teatro della sicurezza" è più spesso applicato dove la persona che mette o mantiene in atto le misure di sicurezza presumibilmente efficaci sa che sono deboli e amp; imperfetto nella realtà. Invece, qui sembra che la fonte sia semplicemente ignorante delle reali implicazioni per la sicurezza di ciò che vuole fare. Per quanto riguarda la "sicurezza per oscurità", per canalizzare Orwell penso che si possa sostenere che quel termine è stato così abusato nella comunità della sicurezza a questo punto che ha perso la maggior parte del suo significato originale e utile. In ogni caso, è un termine che cerco personalmente di evitare di usare, tranne dove si applica indiscutibilmente. ("Perché penso che WhirlyBirdBSD sia il sistema operativo più sicuro? Beh, dal momento che ci sono 700 persone nel mondo che lo gestiscono, nessuno lo prende mai.")

Per quanto riguarda il modo in cui si potrebbe classificare questa situazione come invece, da tecnico e amp; punti di vista pratici Sono con @Schroeder & altri che hanno suggerito semplicemente "la sicurezza lato client" come categoria di insuccesso / etichetta, un modo eccellente e conciso di metterlo.

Più in generale, colloquialmente, & Facetiously ... forse lo chiamano un fallimento di UROASM: sfortunato affidamento su un mito di sicurezza. :) La categoria include tonnellate di altre cattive pratiche basate su ipotesi comuni ma completamente sbagliate. (Ad esempio, non ti preoccupare se il sistema operativo sul tuo PC viene riparato perché usi un software anti-malware, che sicuramente ti proteggerà da tutto ciò che potrebbe essere dannoso o pensi di essere al sicuro dall'iniezione SQL perché sfuggi all'input dell'utente .)

    
risposta data 18.11.2015 - 07:19
fonte
0

La facciata di sicurezza suona come la scelta più elegante. In questo caso la sicurezza non è nient'altro che pelle profonda e in realtà fornisce solo una protezione limitata contro i kiddie script più mediocri.

    
risposta data 17.11.2015 - 21:16
fonte
0

Vorrei offrire un altro approccio: Security Gaffe .

Questo non è necessariamente un termine del settore, ma tutti gli usi della frase che vedo nei media implicano una definizione simile:

  1. Il creatore / fornitore ha generalmente ritenuto che il proprio sistema fosse abbastanza sicuro.
  2. È stato commesso un errore di sicurezza non previsto.
  3. L'errore che è stato fatto va contro le migliori pratiche del settore, e quindi potrebbe probabilmente essere facilmente evitato.

La principale differenza con questo approccio è che il "Gaffe" non è un modo imperfetto di pensare sul problema, ma invece rappresenta l'implementazione imperfetta derivante dal pensiero imperfetto .

Come nota a margine, quando si fa una rapida ricerca di "Security Gaffe", tutti gli usi della frase sono correlati a una violazione della sicurezza derivante da una sicurezza gaffe, ma credo che la gaffe sia lì indipendentemente dal fatto che sia sfruttata oppure no.

    
risposta data 18.11.2015 - 18:13
fonte

Leggi altre domande sui tag