Недавно на сайте Microsoft были опубликованы 10 законов безопасности (10 Security Laws), на которые сразу же появилось несколько откликов. Наиболее удачным нам показались дополнения к этим законам от Брюса Макдональда (Bruce MacDonald):

Закон 1: Если злоумышленник способен уговорить пользователя запустить программу на его компьютере, компьютер перестает быть собственностью пользователя.

Возражение 1: Если разработчик ОС продает такую систему, то он становится соучастником злоумышленника.

Закон 2: Если злоумышленник способен изменить операционную систему на компьютере пользователя, компьютер перестает быть собственностью пользователя.

Возражение 2: Если разработчик ОС по умолчанию устанавливает режим «Все: полный доступ» (Everyone: Full control), то он становится соучастником злоумышленника и несет ответственность за любое повреждение системы.

Закон 3: Если злоумышленник может получить неограниченный физический доступ к компьютеру, компьютер перестает быть собственностью пользователя.

Возражение 3: Если любой человек, кроме самого пользователя или его доверенных лиц, может получить неограниченный физический доступ к компьютеру, то этот пользователь сам несет ответственность за все последствия.

Закон 4: Если злоумышленник может загрузить программу на веб-сайт пользователя, этот сайт перестает быть собственностью пользователя.

Возражение 4: Если некто претендует на загрузку программу на веб-сайт пользователя, пользователь должен считать такого человека злоумышленником.

Закон 5: Слабый пароль нарушит самую строгую защиту.

Возражение 5: Разработчик ОС не должен допустить использование пользователем слабого пароля.

Закон 6: Компьютер защищен ровно настолько, насколько можно доверять администратору системы.

Возражение 6: Все правильно, добавить нечего.

Закон 7: Шифрованные данные защищены ровно настолько, насколько безопасен ключ дешифрации.

Возражение 7: Все правильно, добавить нечего.

Закон 8: Не обновляемая антивирусная программа не намного лучше полного отсутствия такой программы.

Возражение 8: Достаточно ввести в ОС два разных режима работы: установки новой программы и исполнения уже установленной, а затем проверенной программы. Этим устраняется появление любых нежелательных дополнений в код «хорошей» программы, либо заведомо «вредной» программы.

Закон 9: Полная анонимность не нужна в реальной жизни и в Интернете.

Возражение 9: Весьма спорное утверждение, предполагающее отслеживание по цифровым подписям любой информации от создания, через распространение и до потребления (т.е. чтения).

Закон 10: Технологии не станут панацей от любых проблем безопасности.

Возражение 10: Все правильно, добавить нечего.

Источник: http://www.itunion.ru