Posted on 2005-09-13 22:32
laogao 閱讀(458)
評論(0) 編輯 收藏 所屬分類:
Computer Usage
在Slashdot上面看到這個鏈接,很有意思:
http://www.ranum.com/security/computer_security/editorials/dumb/簡單用中文轉述一下,感興趣的請看原文。
作者認為在計算機安全領域有很多我們常識性的錯誤的理解和觀點,最嚴重的6條分別是:
1- 默認允許 - 很多東西在我們的系統中都是默認允許的,如程序、端口等,有必要嗎?
2- 枚舉不好的東西 - 如果我們只需要關心那些東西是我們真正需要的,豈不是比列出那些我們不需要的來得更方便?(我們真的需要和黑客們搞“軍備競賽”?)
3- 滲透然后打補丁- 很多軟件廠商都是找人來測試系統安全漏洞,然后爭取在黑客利用它們之前發布給客戶讓客戶去打補丁,這樣真的是一個好辦法嗎?(作者舉的例子是IE)
4- 黑客很酷 - 很多媒體都有意無意在美化一些不好的事物和行為,比如黑客。
5- 培訓/教育用戶 - 為什么我們要教育用戶不要這樣不要那樣,有這個必要嗎?很多簡單的道理和使用習慣往往是你無法預知和阻止用戶去做的,除非你從源頭上杜絕用戶作出這種選擇的可能。
6- 為好過無為 - 這就跟中國的道家思想有關了,在我們準備要開始安裝和使用一個新的軟件或工具時,我們最好停下來先想一想,觀察觀察。
作者還總結了一些相對不那么嚴重的錯誤觀點,如:
- 我們不會是攻擊對象
- 如果大家都隨時打補丁所有人就安全了
- 我們不需要防火墻因為我們有很好的主機安全機制
- 我們不需要主機安全機制因為我們有很好的防火墻
- 我們先用起來,稍后再處理安全性問題
- 我們無法阻止偶然發生的問題
最后這一點很逗,作者舉的例子是如果你認為航空業用這種方式來對待你的生命時,你還會乘坐商業航空公司的飛機嗎?