ちょうど最近、XSS(入力検証で軽減できる)、SQLインジェクション(準備済みステートメントで軽減)など、ITセキュリティで解決されたすべての問題について考えました。
2010年の最大の未解決のセキュリティ問題は何でしょうか。脆弱性を軽減するための良い方法がまだわからない脆弱性があるかどうか、ここで疑問に思っています。解決した問題の解決策をすべての人に使用させる方法を除いて。
エンドユーザーの問題を実際に解決することはできません。まあ、とにかく法的または倫理的に。私の投票は、ホームレルムディスカバリー問題に向けられます。
編集:エンドユーザーの問題は、以前に投稿された回答を参照していた。ホームレルムの検出は、クレームベースの認証モデルの一部であり、OpenID/OpenAuthと同様に、ユーザーにIDを提供するために複数のサービス/組織から選択できます。この問題は、ユーザーについてまだ何も知らないため、情報を取得するプロバイダーを特定する必要がある場合に発生します。それは鶏/卵の問題です。ユーザーが誰を使用してIDを提供するのかわからない場合に、ユーザーを認証する必要があるのはどのようにしてわかりますか。
最初の明白な答えは、1つのプロバイダーのみを使用することですが、その種のモデルの利点は打ち消されます。
2つ目の明白な答えは、ユーザーに尋ねることです。ただし、これはopenIDの欠点です。ほとんどの人は彼らのプロバイダーが誰であるかを知りません。そして、GoogleとFacebookに対して認証できるが、どれが呼び出し側アプリケーションのプロファイルに関連付けられているかがわからない場合はどうなりますか?
これは、愛情を込めてOpenIDでのNASCARの問題と呼ばれています。OpenIDの起動ページには通常、プロバイダー用の膨大なロゴがあるため、使用するプロバイダーを選択する必要があります。これは、カスタムプロバイダーがある場合は機能しません。
CardSpace/InfoCard /情報カードを覚えていますか?それは問題を解決しようとします。理論的にはかなり良い仕事をしています。事実上お腹が空いていない。
社会工学断然。
人間は今後もソーシャルエンジニアリングに対して脆弱なままであり、「セキュリティは最も弱いリンクと同じくらい優れている」ということわざがあります。
ここでの答えの多くは、未解決の問題は「ユーザー」または何らかのバリアントであると述べているため、最大の未解決の問題はユーザーが敵であると信じるセキュリティ専門家であると結論せざるを得ません。
根本的な原因は、目に見える利点のないセキュリティポリシーまたは手順です。つまり、ユーザーが何をしているかをユーザーが見ることができず、ユーザーの時間と労力を消費します。この問題を解決するには、Infosecの専門知識とユーザビリティエンジニアリングおよび社会科学を組み合わせて、有効にする新しいセキュリティエクスペリエンスを発明し、ユーザーがそのメリットを認識できるようにする必要があります。
ハイステークス選挙のための自宅またはオフィスのコンピューターからのインターネット投票は、「未解決の問題」のスケールからかなりかけ離れています。海外および/または軍隊にいて、有権者検証済みの紙の投票用紙を返却するための迅速で信頼できる方法がない有権者にとっては、特に重要です(潜水艦:と考えてください)。 DESSECで X-PRIZE に値するものとしてノミネートされました:セキュアシステムエンジニアリングコンテストへの参加
「RSA」の「R」であるRon Rivestは、2010年にUOCAVAリモート投票システムワークショップでいくつかの説得力のある講演の1つを行いました。プレゼンテーションはこちらの「議題とプレゼンテーション」ページでご覧いただけます http://www.nist.gov/itl/csd/ct/uocava_workshop_aug2010.cfm
投票は匿名でなければならず、投票の販売は禁止されており、システムは透明性が高い必要があるため、この問題は安全な電子商取引の問題よりもはるかに困難です。以下も含まれます:
コロンビア特別区によるインターネット投票パブリックテストの最近のクラッシュアンドバーンを検討する際、 ワシントンポストはそれを正しく理解しました 。
もっと見る
インターネット投票とUOCAVAに関するUSACM問題の概要- http://usacm.acm.org/usacm/PDF/IB_Internet_Voting_UOCAVA.pdf
安全なインターネットポーリング (ITセキュリティの質問)
スマートフォンのセキュリティ
ウイルスや企業情報の漏洩の標的となっているスマートフォンは数多くあります。これらのセキュリティの脆弱性に対処するための統一された方法を見つけると同時に、柔軟なユーザー環境を提供することは困難です。
現在、複数のデバイスにメールセキュリティを提供するためにGoodlinkを検討しています。他にご存知の場合はコメントしてください
安心して考えない人。
HTTPSを正しく展開する
認証後は常にSSL/TLSセッションを使用してください... Webセッションの残りの部分については...
https://www.eff.org/pages/how-deploy-https-correctly
同様に、誰かがGoogle AdSense/AdWordsにHTTPSをサポートするように指示できますか?!?!ログインを要求するすべてのサイトは、ユーザーに「混合コンテンツ」の警告が表示されないようにするため、通常はHTTPに戻ります。
少し話題から外れましたが、誰もCIAの前にあるクリプトス彫刻の最後の行を解決していません。
メール送信者の確認
多くのソリューションとサードパーティは、「ユーザーxが実際にメールメッセージを送信したのか」という問題に対処しようとしています。またはそれは偽装されましたか?
[〜#〜] dmarc [〜#〜] 、DomainKeys、SenderID、およびSPFはすべて、何らかの方法で問題に対処するテクノロジーの例ですが、採用率はどこにも近くありませんそれが必要です。さらに、この領域でListSrvを処理する場合にも完全な解決策はないと思います。
現在、大きな問題はパスワードの再利用だと思います。
XKCD#792 は、ユーモアの「ビット」に関する問題を示しています。
未解決の大きな問題-シニア(CEO、FDなど)に情報セキュリティを理解してもらう。 IT管理者はITセキュリティを(かなり)理解する傾向がありますが、上級管理者は理解していません。彼らはビジネス、運用、財務リスクに焦点を当てているので、ISリスクを同等のものに変換し、相対的な影響とともに、平等な競争条件で議論できるようにすることが、変更の予算を確保する唯一の一貫した方法です。情報セキュリティの革命的変化の現在の推進力とは対照的に、通常は大きな事件への対応であり、タブロイド紙が次の目標に到達するまでの短い間、高い予算と緊急性が必要です。
パスワードと人々の考え方。私の意見では、パスワードはパスフレーズに変更する必要があります。ユーザーのパスワードポリシーが悪いため、今日ハッキングされるアカウントが多すぎます。
例:ユーザーが10文字未満のパスワードを選択した。彼が登録したサイトがハイジャックされ、DBが空になると、簡単にブルートフォース攻撃を受けます。残念ながら、彼は自分の電子メールにも同じパスワードを使用しています(もちろん??誰が使用しませんか?!バカじゃない!)。これにより、彼はすべての資格情報と基本的にはオンラインIDを失います。誰もが彼がそれについて多くを知らなくてもこの犠牲者を容易に悪用することができます。
入力検証ではXSSを解決できません。あなたは間違っています。
SQLインジェクションは準備されたステートメント以上のものです。 SQLステートメントや変数バインディングなどのトピックが含まれています。 HibernateにはHQLインジェクションがあり、適切な変数バインディングを持つ名前付きパラメーターによってオフセットされます。
ITセキュリティの最大の問題はエンドユーザーです。
私の知る限り、クリックジャッキングやスクレイピングを防ぐための実際の解決策はありません。後者の場合、最善の解決策は、IPベースの監視、またはすべてのページ読み込み時のキャプチャです。どれも完璧ではありません。
クラウドセキュリティは証明されていません
SaaS、PaaS、およびIaaSソリューションのセキュリティは、時間テストされておらず、信頼されていません。これは、ビジネスがあり、信頼できない、実績のないソリューションを販売する営業担当者がいるときに問題になると思います。
時間とともに、おそらくこれは変化するでしょう。
DNSSec の広範な採用と使用
すべてのゾーンを公開することに関しては論争がありますが、一部の国での使用に関しては法的な問題があります。全体として、ニワトリと卵の症候群を克服するために必要な技術です。
少ないスタッフで増加する脅威に対処します。
2010年に学んだ問題について尋ねたので、レイオフは情報の盗難や社内スタッフからの不正な開示のリスクを高めると言います。
レイオフがセキュリティ部門に影響を与える場合、前述の問題の多くがチェックされず、会社が危険にさらされる可能性があります。
P対NP問題は、コンピューターサイエンスの主要な未解決の問題です。
最も一般的な攻撃 はXSSであり clickjacking は私の知る限りです。
安全に公衆インターネットに接続していますか?