任何时候使用用户名/密码认证时,通常的看法是使用加密(SSL,HTTPS等)来保护数据的传输。但是这留下了可能容易受到攻击的终点。网络安全的真正风险在哪里?
现实情况下,入侵的风险更大?
传输层:经由无线数据包嗅探,恶意窃听损害,等等
运输装置:风险包括ISP和互联网骨干网运营商嗅探数据。
最终用户设备:易受间谍软件,密钥记录器,肩膀冲浪等影响。
远程服务器:许多无法控制的漏洞,包括恶意操作,破坏导致数据被盗,物理上存在服务器,备份保存在不安全的地方,等等。
我的直觉反应是,虽然传输层通过SSL相对容易保护,但其他方面的风险要大得多,尤其是在终点。例如,在家里,我的电脑直接连接到我的路由器;从那里直接到我的ISP路由器和互联网。我估计运输级别(软件和硬件)的风险低至不存在。但是,我连接的服务器有哪些安全性?他们被黑客入侵了吗?运营商是否在收集用户名和密码,知道大多数人在其他网站上使用相同的信息?同样,我的电脑是否受到恶意软件的入侵?那些似乎是更大的风险。
我的问题是:我应该担心,如果我使用或开发的服务不使用SSL?当然,这是一个低悬的水果,但上面有更多的水果。
您是否想重新安排OWASP漏洞?这些是已知的问题。问题是什么?我们认识到这些已知问题? – 2010-03-30 20:37:07
用户是网络安全的真正风险。 – Bratch 2010-03-30 20:44:34
你没有提到未加密的非现场备份媒体。为什么忽略它? – 2010-03-30 20:47:21