Estaba leyendo una solicitud en Meta Stack Exchange: Una solicitud de una ventana emergente informativa antes posible votación en serie . Recibió dos respuestas aparentemente bien informadas de usuarios bien informados, y he recortado las partes relevantes de las respuestas:
Esto revelaría abiertamente los algoritmos utilizados para detectar la votación en serie. La votación en serie no es un problema que solo existe si se obtiene X votos, pero no X-1 votos. No sabemos exactamente cómo funciona el algoritmo, pero imagina que fueron 10 votos para un solo usuario en una semana: si te advirtiera cuándo ibas a votar el número 10, cualquiera que quisiera manipular los votos de esta manera simplemente deténgase y espere unos días hasta que la ventana emergente deje de mostrarse.
...
Los parámetros de detección de votos en serie se mantienen intencionalmente en privado. Lo último que queremos hacer es decirle a las personas que intencionalmente se involucran en este comportamiento cómo evitar la detección.
Para mí, esto parece signos reveladores de seguridad a través de la oscuridad, y deambulando un poco parece que el sitio SE también oculta nuestra lógica de detección de spam, aunque Charcoal parece proporcionar razones individuales de detección de spam para fines de depuración. También parece que otros sitios grandes ocultan la detección de spam y la lógica de detección de manipulación de votos (Amazon, Steam y Youtube, por lo que puedo decir)
Una de las primeras cosas que aprendí sobre seguridad informática es que la oscuridad tiende a ser algo malo y no se debe confiar en ella. Comience por suponer que su oponente conoce su configuración de seguridad y tenga en cuenta eso en su modelo de amenaza. Sin embargo, cuando se trata de nuestras herramientas de detección de spam y herramientas de otros sitios, parece que la oscuridad es la piedra angular de las medidas de seguridad, con el supuesto de que el oponente no conoce la lógica que están usando las herramientas y si lo supieron. Las herramientas serían inútiles. Incluso la etiqueta de esta pregunta señala explícitamente que la herramienta no debe confiar en only en la oscuridad, sin embargo, aquí estamos.
Supongo que un tipo con una licenciatura en CS no es más inteligente que los administradores de seguridad de SE. Entonces la pregunta es, ¿dónde está el problema con mi comprensión? ¿Existe alguna diferencia fundamental en la detección de spam y la seguridad convencional, ya que se aplica al principio de Kerckhoff que no estoy considerando, aunque ambos están diseñados para evitar que los usuarios malintencionados corrompan los datos?