Недавно на сайте Microsoft были опубликованы 10 законов безопасности (10 Security Laws), на которые сразу же появилось несколько откликов. Наиболее удачным нам показались дополнения к этим законам от Брюса Макдональда (Bruce MacDonald): Закон 1: Если злоумышленник способен уговорить пользователя запустить программу на его компьютере, компьютер перестает быть собственностью пользователя.
Возражение 1: Если разработчик ОС продает такую систему, то он становится соучастником злоумышленника.
Закон 2: Если злоумышленник способен изменить операционную систему на компьютере пользователя, компьютер перестает быть собственностью пользователя.
Возражение 2: Если разработчик ОС по умолчанию устанавливает режим «Все: полный доступ» (Everyone: Full control), то он становится соучастником злоумышленника и несет ответственность за любое повреждение системы.
Закон 3: Если злоумышленник может получить неограниченный физический доступ к компьютеру, компьютер перестает быть собственностью пользователя.
Возражение 3: Если любой человек, кроме самого пользователя или его доверенных лиц, может получить неограниченный физический доступ к компьютеру, то этот пользователь сам несет ответственность за все последствия.
Закон 4: Если злоумышленник может загрузить программу на веб-сайт пользователя, этот сайт перестает быть собственностью пользователя.
Возражение 4: Если некто претендует на загрузку программу на веб-сайт пользователя, пользователь должен считать такого человека злоумышленником.
Закон 5: Слабый пароль нарушит самую строгую защиту.
Возражение 5: Разработчик ОС не должен допустить использование пользователем слабого пароля.
Закон 6: Компьютер защищен ровно настолько, насколько можно доверять администратору системы.
Возражение 6: Все правильно, добавить нечего.
Закон 7: Шифрованные данные защищены ровно настолько, насколько безопасен ключ дешифрации.
Возражение 7: Все правильно, добавить нечего.
Закон 8: Не обновляемая антивирусная программа не намного лучше полного отсутствия такой программы.
Возражение 8: Достаточно ввести в ОС два разных режима работы: установки новой программы и исполнения уже установленной, а затем проверенной программы. Этим устраняется появление любых нежелательных дополнений в код «хорошей» программы, либо заведомо «вредной» программы.
Закон 9: Полная анонимность не нужна в реальной жизни и в Интернете.
Возражение 9: Весьма спорное утверждение, предполагающее отслеживание по цифровым подписям любой информации от создания, через распространение и до потребления (т.е. чтения).
Закон 10: Технологии не станут панацей от любых проблем безопасности.
Возражение 10: Все правильно, добавить нечего.
Источник:
http://www.itunion.ru