В информационной безопасности мы выработали ряд аксиом, с которыми не принято спорить: Никогда не внедряйте собственную криптографию. Всегда используйте TLS. Безопасность через неясность (security by obscurity) — это плохо. И тому подобное. Большинство из них в целом верны. Однако мне…
25 января информационное агенство Reuters сообщило что такие фирмы как McAfee, SAP и Symantec позволили российским спецслужбам произвести изучение исходного кода своих продуктов, а это «потенциально подвергает опасности компьютерные сети как минимум дюжины федеральных агенств CША ».…
Принцип «безопасность через неясность» не один год критикуется специалистами, но это не мешает крупным производителям электроники под предлогом защиты интеллектуальной собственности требовать подписания соглашений о неразглашении для получения технической документации.…
Безопасность через неясность работает в некоторых редких ситуациях: например, указать нестандартный порт SSH для защиты от брута или закамуфлировать критически важный объект, как сова на фотографии (см. приёмы обфускации кода). Да, есть такие экзотические методы. Но обычно наилучшую защиту обеспечивает максимальная открытость кода. Чем меньше секретов в коде программы — тем безопаснее. Насколько справедливо это парадоксальное утверждение? Посмотрим на статистику. Читать дальше →