Los usuarios que no conocen sus permisos son, en el mejor de los casos, seguridad por oscuridad, y en realidad puede resultar un mayor riesgo para la seguridad, el resultado final. Los usuarios quieren hacer las cosas, eso es por lo que se les paga. Si no pueden, hay dos escenarios posibles:
a) Los usuarios se encuentran con problemas oscuros ("Guardé un archivo allí y allá, y simplemente desaparece"), intentan "resolverlos por su cuenta y se vuelven creativos, posiblemente introduciendo todo tipo de pesadillas de seguridad y mantenimiento. .
b) Los usuarios tienen problemas, pero pueden descubrir que carecen de permiso para hacer lo que quieren; por lo general, irán a ver a quien esté a cargo de la seguridad y solicitarán que se les otorguen los permisos adecuados, momento en el cual es posible intervenir y otorgar esos permisos de una manera sensata, o mostrarles la manera correcta de lograr sus objetivos .
Además, si poder ver los permisos efectivos propios hace que un sistema sea vulnerable, entonces los permisos son defectuosos o no se aplican correctamente. Después de todo, un atacante no necesita verificar los permisos, simplemente puede intentar hacer lo que quiere y ver si tiene éxito.
Sin embargo, ver los permisos de
otra persona es una historia diferente: significa que una vez que ingresó en una cuenta sin privilegios, puede descubrir rápidamente qué otras cuentas son más valiosas para usted (permisos administrativos) , acceso a archivos interesantes, etc.) y luego montar un ataque dirigido específicamente para esos usuarios.