¿Hay un nombre para esta forma defectuosa de pensar acerca de la seguridad? [cerrado]

-1

Recientemente me he encontrado con un desarrollador que cree que puede implementar la seguridad en el extremo del cliente de una aplicación web. Romper la seguridad es tan trivial como leer unas pocas líneas de Javascript y cambiar una URL.

En otras palabras, la "seguridad" de la aplicación es completamente una fachada. Sé que la vulnerabilidad en cuestión es una forma de parámetros de entrada no verificados, pero algo más profundo está sucediendo aquí, ya que se le dijo al desarrollador en cuestión que hiciera una capa de seguridad que no pudiera ser manipulada, y en cambio hizo algo que solo es una interfaz de usuario que parece que es seguro.

Se me ocurre que sería útil tener un término para esto. Ya tenemos "seguridad a través de la oscuridad", y "teatro de seguridad" para describir otros comportamientos que las personas cometen y piensan que es seguridad. ¿Hay algún término todavía para esto? Fachada de seguridad es lo mejor que se me ocurre.

    
pregunta Steve Sether 17.11.2015 - 20:48
fuente

5 respuestas

9

¿Qué hay de: Teatro de seguridad ?

  

El teatro de seguridad es la práctica de invertir en contramedidas.   destinado a proporcionar la sensación de seguridad mejorada al hacer   Poco o nada para lograrlo realmente. Algunos expertos como Edward   Felten ha descrito las repercusiones de seguridad del aeropuerto debido a la   Los ataques del 11 de septiembre como teatro de seguridad.

     

Si bien puede parecer que el teatro de seguridad siempre debe causar pérdidas, puede   En realidad ser beneficioso, al menos en una situación localizada. Esto es   Porque la percepción de seguridad es a veces más importante que   seguridad en sí misma. Si las posibles víctimas de un ataque se sienten más   protegidos y más seguros como resultado de las medidas, entonces podrán llevar   en actividades que de otro modo habrían evitado. Además, si el   Las medidas de seguridad en vigor parecen ser efectivas, los atacantes potenciales   ser disuadido de proceder o puede dirigir su atención a un objetivo   Percibido como menos seguro. Los adversarios no sofisticados en particular   pueden asustarse por las impresiones superficiales de seguridad (como   ver a varias personas en uniforme u observar cámaras) y ni siquiera   tratar de encontrar debilidades o determinar el efecto.

Poner mucha validación en el lado del cliente es similar a eso. La mayoría de la gente pensará que el sitio es seguro cuando en realidad no lo es. Si realmente no te importa la seguridad y solo quieres disuadir a los atacantes perezosos, entonces no sería una mala idea.

    
respondido por el Gudradain 17.11.2015 - 21:16
fuente
1

Acceso de datos no autorizado en el servidor

Sugiero que estés pensando en este problema al revés. La vulnerabilidad está en el servidor y, por lo tanto, solo debes llamar como lo veas.

Obfuscation es un tipo de Security Through Obscurity ; no hay nada intrínsecamente incorrecto en él a menos que lo creas más seguro de lo que realmente es (como tu colega). Las verificaciones de validación del lado del cliente también se recomiendan porque mejoran la capacidad de respuesta y reducen el impacto del servidor, aunque confiar únicamente en ellas es inseguro. La falla no está en el cliente, sino en el servidor. No nombre al cliente "fracaso", ya que no hay uno. En su lugar, nombre la falla del lado del servidor que es una verificación de verificación de datos faltantes (ya sea una verificación de límites o una verificación de acceso).

En este caso, la falla es el cheque faltante, que usted sabe que puede exponer al crear su propio mini JS hack desde un navegador web. En el momento en que lo demuestres de forma teórica o real, tu equipo entenderá lo que quieres decir cuando los apuntes al agujero de seguridad en el servidor.

    
respondido por el Andrew Philips 17.11.2015 - 23:57
fuente
1

Todos estos términos tienen mucho juego en las uniones, por supuesto. Pero creo que tiendo a estar de acuerdo con el autor de la pregunta aquí: dudaría un poco en usar las etiquetas "teatro de seguridad" o "seguridad por oscuridad". La situación que ofrece el OP. El "teatro de seguridad" se aplica con mayor frecuencia cuando la persona que pone o mantiene las medidas de seguridad supuestamente efectivas en realidad sabe que son débiles & Defecto en la realidad. En cambio, aquí parece que la fuente es simplemente ignorante de las implicaciones reales de seguridad de lo que ella quiere hacer. En cuanto a "seguridad por oscuridad", para canalizar a Orwell, creo que se puede argumentar que ese término ha sido tan utilizado en la comunidad de seguridad en este punto que ha perdido la mayor parte de su significado original y útil. En cualquier caso, es un término que, personalmente, trato de evitar usar, excepto cuando se aplica indiscutiblemente. ("¿Por qué creo que WhirlyBirdBSD es el sistema operativo más seguro? Bueno, dado que hay 700 personas en el mundo que lo ejecutan, nadie lo tiene como objetivo".)

En cuanto a cómo se podría categorizar esta situación, en lugar de, desde técnicas & puntos de vista prácticos Estoy con @Schroeder & otros que sugirieron simplemente "" seguridad del lado del cliente "como la categoría de falla / etiqueta. Una manera excelente y concisa de ponerlo.

Más generalmente, coloquialmente, & facetamente ... quizás llamarlo un fallo de UROASM: Dependencia desafortunada en un mito de seguridad. :) La categoría incluye toneladas de otras malas prácticas basadas en supuestos comunes pero completamente erróneos. (Por ejemplo, no importa si el sistema operativo de su PC está parcheado porque usa un software antimalware, que seguramente lo protegerá de cualquier cosa que pueda ser perjudicial. O piense que está a salvo de la inyección de SQL porque se escapa de la entrada del usuario .)

    
respondido por el mostlyinformed 18.11.2015 - 07:19
fuente
0

La fachada de seguridad suena como la opción más elegante. En este caso, la seguridad no es más que superficial y, en realidad, solo ofrece una protección limitada contra los chavales de guión más indiferentes.

    
respondido por el Darkstar 17.11.2015 - 21:16
fuente
0

Me gustaría ofrecer otro enfoque: Security Gaffe .

Este no es necesariamente un término de la industria, pero todos los usos de la frase que veo en los medios implican una definición similar:

  1. El creador / proveedor generalmente pensó que su sistema era lo suficientemente seguro.
  2. Se cometió un error de seguridad involuntario.
  3. El error que se cometió va en contra de las mejores prácticas de la industria y, por lo tanto, probablemente podría haberse evitado fácilmente.

La principal diferencia con este enfoque es que el "Gaffe" no es una manera defectuosa de pensar sobre el problema, sino que representa la implementación defectuosa que resulta del pensamiento defectuoso .

Como nota al margen, cuando se realiza una búsqueda rápida de "Gaffe de seguridad", todos los usos de la frase están relacionados con una brecha de seguridad que resulta de un gaffe de seguridad, pero creo que el gaffe está ahí, independientemente de si se explota. o no.

    
respondido por el TTT 18.11.2015 - 18:13
fuente

Lea otras preguntas en las etiquetas