¿Hay un nombre para esta forma defectuosa de pensar acerca de la seguridad? [cerrado]

¿Qué hay de: Teatro de seguridad ?

  

El teatro de seguridad es la práctica de invertir en contramedidas.   destinado a proporcionar la sensación de seguridad mejorada al hacer   Poco o nada para lograrlo realmente. Algunos expertos como Edward   Felten ha descrito las repercusiones de seguridad del aeropuerto debido a la   Los ataques del 11 de septiembre como teatro de seguridad.

     

Si bien puede parecer que el teatro de seguridad siempre debe causar pérdidas, puede   En realidad ser beneficioso, al menos en una situación localizada. Esto es   Porque la percepción de seguridad es a veces más importante que   seguridad en sí misma. Si las posibles víctimas de un ataque se sienten más   protegidos y más seguros como resultado de las medidas, entonces podrán llevar   en actividades que de otro modo habrían evitado. Además, si el   Las medidas de seguridad en vigor parecen ser efectivas, los atacantes potenciales   ser disuadido de proceder o puede dirigir su atención a un objetivo   Percibido como menos seguro. Los adversarios no sofisticados en particular   pueden asustarse por las impresiones superficiales de seguridad (como   ver a varias personas en uniforme u observar cámaras) y ni siquiera   tratar de encontrar debilidades o determinar el efecto.

Poner mucha validación en el lado del cliente es similar a eso. La mayoría de la gente pensará que el sitio es seguro cuando en realidad no lo es. Si realmente no te importa la seguridad y solo quieres disuadir a los atacantes perezosos, entonces no sería una mala idea.

Acceso de datos no autorizado en el servidor

Sugiero que estés pensando en este problema al revés. La vulnerabilidad está en el servidor y, por lo tanto, solo debes llamar como lo veas.

Obfuscation es un tipo de Security Through Obscurity ; no hay nada intrínsecamente incorrecto en él a menos que lo creas más seguro de lo que realmente es (como tu colega). Las verificaciones de validación del lado del cliente también se recomiendan porque mejoran la capacidad de respuesta y reducen el impacto del servidor, aunque confiar únicamente en ellas es inseguro. La falla no está en el cliente, sino en el servidor. No nombre al cliente "fracaso", ya que no hay uno. En su lugar, nombre la falla del lado del servidor que es una verificación de verificación de datos faltantes (ya sea una verificación de límites o una verificación de acceso).

En este caso, la falla es el cheque faltante, que usted sabe que puede exponer al crear su propio mini JS hack desde un navegador web. En el momento en que lo demuestres de forma teórica o real, tu equipo entenderá lo que quieres decir cuando los apuntes al agujero de seguridad en el servidor.

Todos estos términos tienen mucho juego en las uniones, por supuesto. Pero creo que tiendo a estar de acuerdo con el autor de la pregunta aquí: dudaría un poco en usar las etiquetas "teatro de seguridad" o "seguridad por oscuridad". La situación que ofrece el OP. El "teatro de seguridad" se aplica con mayor frecuencia cuando la persona que pone o mantiene las medidas de seguridad supuestamente efectivas en realidad sabe que son débiles & Defecto en la realidad. En cambio, aquí parece que la fuente es simplemente ignorante de las implicaciones reales de seguridad de lo que ella quiere hacer. En cuanto a "seguridad por oscuridad", para canalizar a Orwell, creo que se puede argumentar que ese término ha sido tan utilizado en la comunidad de seguridad en este punto que ha perdido la mayor parte de su significado original y útil. En cualquier caso, es un término que, personalmente, trato de evitar usar, excepto cuando se aplica indiscutiblemente. ("¿Por qué creo que WhirlyBirdBSD es el sistema operativo más seguro? Bueno, dado que hay 700 personas en el mundo que lo ejecutan, nadie lo tiene como objetivo".)

En cuanto a cómo se podría categorizar esta situación, en lugar de, desde técnicas & puntos de vista prácticos Estoy con @Schroeder & otros que sugirieron simplemente "" seguridad del lado del cliente "como la categoría de falla / etiqueta. Una manera excelente y concisa de ponerlo.

Más generalmente, coloquialmente, & facetamente ... quizás llamarlo un fallo de UROASM: Dependencia desafortunada en un mito de seguridad. :) La categoría incluye toneladas de otras malas prácticas basadas en supuestos comunes pero completamente erróneos. (Por ejemplo, no importa si el sistema operativo de su PC está parcheado porque usa un software antimalware, que seguramente lo protegerá de cualquier cosa que pueda ser perjudicial. O piense que está a salvo de la inyección de SQL porque se escapa de la entrada del usuario .)

La fachada de seguridad suena como la opción más elegante. En este caso, la seguridad no es más que superficial y, en realidad, solo ofrece una protección limitada contra los chavales de guión más indiferentes.

Me gustaría ofrecer otro enfoque: Security Gaffe .

Este no es necesariamente un término de la industria, pero todos los usos de la frase que veo en los medios implican una definición similar:

1. El creador / proveedor generalmente pensó que su sistema era lo suficientemente seguro.
2. Se cometió un error de seguridad involuntario.
3. El error que se cometió va en contra de las mejores prácticas de la industria y, por lo tanto, probablemente podría haberse evitado fácilmente.

La principal diferencia con este enfoque es que el "Gaffe" no es una manera defectuosa de pensar sobre el problema, sino que representa la implementación defectuosa que resulta del pensamiento defectuoso .

Como nota al margen, cuando se realiza una búsqueda rápida de "Gaffe de seguridad", todos los usos de la frase están relacionados con una brecha de seguridad que resulta de un gaffe de seguridad, pero creo que el gaffe está ahí, independientemente de si se explota. o no.